我正在将 ECS 存储库用于两个帐户,一个用于 non_prod,另一个用于 prod。该存储库是 non_prod 帐户的一部分
我发现的问题是,即使从 non_prod 帐户存储库授予 prod 帐户访问权限,prod 帐户也无法拉取 docker 镜像。并提示docker镜像不存在。
我仍然可以访问存储库,但无法提取图像,因为产品帐户认为它不存在
显然该图像存在,因为它在 non_prod 环境中使用。 此外,我还比较了 ~/.docker/config.json 凭据,并且与连接到我在 non_prod 帐户上拥有的 ECS 存储库的凭据相同。
我什至尝试了暂时危险的授予存储库中的所有访问权限但仍然没有任何结果。知道这里出了什么问题吗?
问候。
最佳答案
我们在我们的环境中使用相同的设置,它对我们来说工作得很好。确保您正在执行以下操作:
1) 访问容器时,您在登录命令中传递 --registryid 参数,本质上,
aws ecr get-login --region us-east-1 --registry-ids <value here> | /bin/sh
2) 您已在 ECR 存储库中为 prod 帐户授予访问权限,本质上是在 ECR 存储库的权限部分中,Principal 中有一个 arn:aws:iam:::root 条目,并且存在正确的权限推和拉操作。
如果您正在执行这两项操作但仍然无法访问容器,请告诉我。
关于amazon-web-services - 从外部帐户访问ECS存储库,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39142520/