是否可以在其附加的策略中允许从Docker API VPC端点(com.amazonaws.<region>.ecr.dkr)拉入,但不允许推送到该端点?除了"*"之外,我找不到任何受支持的操作的引用,有没有办法指定只拉取?或者通过一个条件?
com.amazonaws.<region>.ecr.dkr
"*"
tgabmvqs1#
是的,您可以通过VPC端点策略实现这一点。下面是documentation的一个示例。此策略允许特定IAM角色从Amazon ECR中提取图像:
{ "Statement": [{ "Sid": "AllowPull", "Principal": { "AWS": "arn:aws:iam::1234567890:role/role_name" }, "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Effect": "Allow", "Resource": "*" }] }
mrwjdhj32#
在AWS控制台中,将示例(可能是所有可能的安全组)正在使用的安全组添加到VPC端点。
2条答案
按热度按时间tgabmvqs1#
是的,您可以通过VPC端点策略实现这一点。
下面是documentation的一个示例。此策略允许特定IAM角色从Amazon ECR中提取图像:
mrwjdhj32#
在AWS控制台中,将示例(可能是所有可能的安全组)正在使用的安全组添加到VPC端点。