docker 允许从ECR ecr.dkr VPC终结点拉入,但不允许推送?

aoyhnmkz  于 2022-12-26  发布在  Docker
关注(0)|答案(2)|浏览(124)

是否可以在其附加的策略中允许从Docker API VPC端点(com.amazonaws.<region>.ecr.dkr)拉入,但不允许推送到该端点?
除了"*"之外,我找不到任何受支持的操作的引用,有没有办法指定只拉取?或者通过一个条件?

tgabmvqs

tgabmvqs1#

是的,您可以通过VPC端点策略实现这一点。
下面是documentation的一个示例。此策略允许特定IAM角色从Amazon ECR中提取图像:

{
    "Statement": [{
        "Sid": "AllowPull",
        "Principal": {
            "AWS": "arn:aws:iam::1234567890:role/role_name"
        },
        "Action": [
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken"
        ],
        "Effect": "Allow",
        "Resource": "*"
    }]
}
mrwjdhj3

mrwjdhj32#

在AWS控制台中,将示例(可能是所有可能的安全组)正在使用的安全组添加到VPC端点。

相关问题