[英]Can't push image to Amazon ECR - fails with "no basic auth credentials"
我正在尝试将 docker 映像推送到 Amazon ECR 注册表。 我正在使用 docker 客户端 Docker 版本 1.9.1,构建a34a1d5
。 我使用aws ecr get-login --region us-east-1
来获取 docker 登录凭据。 然后我使用这些凭据成功登录,如下所示:
docker login -u AWS -p XXXX -e none https://####.dkr.ecr.us-east-1.amazonaws.com
WARNING: login credentials saved in /Users/ar/.docker/config.json
Login Succeeded
但是当我尝试推送我的图像时,我收到以下错误:
$ docker push ####.dkr.ecr.us-east-1.amazonaws.com/image:latest
The push refers to a repository [####.dkr.ecr.us-east-1.amazonaws.com/image] (len: 1)
bcff5e7e3c7c: Preparing
Post https://####.dkr.ecr.us-east-1.amazonaws.com/v2/image/blobs/uploads/: no basic auth credentials
我确保 aws 用户具有正确的权限。 我还确保存储库允许该用户推送到它。 只是为了确保这不是问题,我将注册表设置为允许所有用户完全访问。 没有任何改变"no basic auth credentials"
错误。 我不知道如何开始调试,因为所有流量都是加密的。
更新
所以当我意识到我的问题的根本原因时,我有一点 Homer Simpson D'Oh 的感觉。 我可以访问多个 AWS 账户。 即使我使用aws configure
为设置存储库的帐户设置凭据,aws cli 实际上也使用环境变量AWS_ACCESS_KEY_ID
和AWS_SECRET_ACCESS_KEY
。 因此,当我执行aws ecr get-login
时,它返回了错误帐户的登录信息。 我没有注意到帐号是不同的,直到我现在才回去尝试一些建议的答案。 当我删除环境变量时,一切正常。 我猜这个故事的座右铭是,如果您遇到此错误,请确保您登录的存储库与您应用于图像的标签匹配。
如果您运行$(aws ecr get-login --region us-east-1)
它将为您完成
AWS CLI 的第 1 版现已弃用get-login
。 如果您使用的是 AWS CLI 的第 2 版,则必须使用get-login-password
。
您可以将get-login-password
的输出通过管道get-login-password
到您的 docker login 命令,以验证 docker 到您的 ECR 注册表:
aws ecr get-login-password | docker login --username AWS --password-stdin ####.dkr.ecr.us-east-1.amazonaws.com
现在您应该能够docker push
并将其直接发送到您的 ECR 注册表。
如果您使用配置文件,请不要忘记将--profile=XXX
传递给aws ecr get-login
--profile=XXX
aws ecr get-login
。
由于 AWS CLI 版本 2 - aws ecr get-login
已弃用,正确的方法是aws ecr get-login-password
。
因此,正确且更新的答案如下: docker login -u AWS -p $(aws ecr get-login-password --region us-east-1) xxxxxxxx.dkr.ecr.us-east-1.amazonaws.com
我也有这个问题。 发生在我身上的事情是我忘记运行运行后返回给我的命令
aws ecr get-login --region ap-southeast-2
此命令返回一个大 blob,其中包含docker login
命令! 我没有意识到。 它应该返回如下内容:
docker login -u AWS -p <your_token_which_is_massive> -e none <your_aws_url>
复制并粘贴此命令,然后运行您的 docker push 命令,如下所示:
docker push 8888888.blah.blah.ap-southwest-1.amazonaws.com/dockerfilename
即使没有打开权限,这也应该有效。 请参阅文档: 私有注册表身份验证。
[编辑:实际上,我在进行第二次测试时也遇到了权限问题。 请参阅Docker 推送到 AWS ECR 私有存储库因格式错误的 JSON 失败)。]
尽管如此,我还是遇到了同样的问题; 我不知道为什么,但我成功地使用了文档中描述的更冗长的身份验证机制来获取授权令牌
AWS CLI 和 Docker 版本:
$ aws --version
aws-cli/1.9.17 Python/2.7.6 Linux/3.16.0-38-generic botocore/1.3.17
$ docker --version
Docker version 1.9.1, build a34a1d5
获取身份验证令牌(“docker 密码”)。
aws ecr get-authorization-token --region us-east-1 --output text \
--query authorizationData[].authorizationToken | base64 -d | cut -d: -f2
注意:我的 ~/.aws/config 指定了不同的默认区域,因此我需要明确设置--region us-east-1
。
以交互方式登录(将############
更改为您的 AWS 账户 ID):
docker login -u AWS https://############.dkr.ecr.us-east-1.amazonaws.com/
password: <paste the very long password from above>
email: <I left this blank>
推送一个图像(假设你已经做了一个 docker image test
):
docker tag test:latest ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
docker push ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
The push refers to a repository [910732017890.dkr.ecr.us-east-1.amazonaws.com/test] (len: 1)
d5122f58a2e1: Pushed
7bddbca3b908: Pushed
latest: digest: sha256:bc0b521fd398bd1a2ef58a289dcb910334608723fd570e7bddb36eacd0060363 size: 4378
尝试:
eval $(aws ecr get-login --no-include-email | sed 's|https://||')
在推之前。
如果它帮助任何人...
我的问题是我必须使用--profile
选项才能使用凭据文件中的正确配置文件进行身份验证。
接下来,我省略了--region [region_name]
命令,这也给出了“无基本身份验证凭据”错误。
我的解决方案是改变我的命令:
aws ecr get-login
对此:
aws --profile [profile_name] ecr get-login --region [region_name]
例子:
aws --profile foo ecr get-login --region us-east-1
希望对某人有所帮助!
Windows 上的 wincred 凭据管理器中存在一个已知错误。 从生成的登录命令中删除“https://”可以解决这个问题。
docker login -u AWS -p <password> <aws_account_id>.dkr.ecr.<region>.amazonaws.com
代替
docker login -u AWS -p <password> https://<aws_account_id>.dkr.ecr.<region>.amazonaws.com
另请参阅故障排除页面。
我遇到了同样的问题。
生成新的 AWS 凭证(访问密钥)并使用新凭证重新配置 AWS CLI 解决了该问题。
早些时候, aws ecr get-login --region us-east-1
使用无效的 EC 注册表 URL 生成了aws ecr get-login --region us-east-1
login 命令。
eval $(aws ecr get-login --region us-east-1)
eval $(aws ecr get-login --region us-east-1 --profile your-profile)
docker build -t image-name .
docker tag image-name:latest ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest
docker push ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest
如果出现错误,请确保再次运行所有命令! 您使用aws ecr get-login
获得的凭据是临时的,会过期。
在PowerShell 中的Windows上,使用:
Invoke-Expression $(aws ecr get-login --no-include-email)
我遇到这个问题的原因不同:我需要推送到与我的 AWS 账户无关的注册表(客户的 ECR 注册表)。 客户通过添加我的 IAM id(例如, arn:aws:iam::{AWS ACCT #}:user/{Username}
)作为委托人,在注册表的“权限”选项卡下授予我访问权限。 我尝试使用通常的步骤登录:
$(aws ecr get-login --region us-west-2 --profile profilename)
docker push {Client AWS ACCT #}.dkr.ecr.us-west-1.amazonaws.com/imagename:latest
这当然导致no basic auth credentials
。 事实证明, aws ecr get-login
将您aws ecr get-login
到与您的登录名相关联的注册表的 ECR,回想起来是有道理的。 解决方案是告诉aws ecr get-login
您要aws ecr get-login
哪个注册表。
$(aws ecr get-login --region us-west-2 --profile profilename --registry-ids {Client AWS ACCT #})
之后, docker push
工作得很好。
就我而言,在运行aws ecr get-login --no-include-email --region *****
,我只是复制了该命令的输出,格式为docker login -u *** -p ************
,然后将其粘贴到提示中。 推动继续进行。
刚刚有一个更新,从 AWS 中删除了 get-login,而是使用 get-login-password:
sudo docker login -u AWS -p $(aws ecr get-login-password --region <region> -
-profile <profile>) <account id>.dkr.ecr.eu-north-1.amazonaws.com
如果使用默认凭据,请不要忘记删除 --profile 标志
AWS 文档告诉您执行以下命令(针对 ap-southeast-2 区域)
aws ecr get-login --region ap-southeast-2
当我遇到这个问题时,根据该文档,我不清楚您需要将此命令的结果输入终端并执行它。
对我有用的修复是将结果复制到剪贴板
aws ecr get-login --region ap-southeast-2 | pbcopy
将结果粘贴到命令行并执行
运行此命令后:
(aws ecr get-login --no-include-email --region us-west-2)
只需从输出中运行 docker login 命令
docker login -u AWS -p epJ....
是docker登录ECR的方式
aws-cli 给出的 docker 命令有点不对劲……
使用 docker login 时,docker 会在您的钥匙串或 ~/.docker/config.json 文件中保存一个 server:key 对
如果它将密钥保存在https://7272727.dkr.ecr.us-east-1.amazonaws.com
推送期间查找密钥将失败,因为7272727.dkr.ecr.us-east-1.amazonaws.com
将寻找名为7272727.dkr.ecr.us-east-1.amazonaws.com
的服务器7272727.dkr.ecr.us-east-1.amazonaws.com
不是https://7272727.dkr.ecr.us-east-1.amazonaws.com
。
使用以下命令登录:
eval $(aws ecr get-login --no-include-email --region us-east-1 --profile yourprofile | sed 's|https://||')
运行命令后,您将收到'Login Succeeded'
消息,然后您就可以了
之后你的推送命令应该可以工作
如果 ecr 登录失败,通常会抛出此错误。 我使用的是 Windows 系统,我在管理员模式下使用“Powershell”首先登录到 ecr。
Invoke-Expression $(aws ecr get-login --no-include-email)
这应该输出“登录成功”。
Docker CLI 不支持本机 IAM 身份验证方法。 要验证和授权 Docker 推送和拉取请求,请遵循此步骤。
第1步
检查 aws 凭据是否正确配置。 要配置 AWS 凭证,请运行以下命令并提供您的 aws 凭证。
aws configure
第2步
您可以使用 get-login-password 向 Amazon ECR 私有注册表验证 Docker(推荐)
linux 和 msc
aws ecr get-login-password --region <your region> | docker login --username AWS --password-stdin <aws_account_id>.dkr.ecr.<your region>.amazonaws.com
用于窗户
(Get-ECRLoginCommand).Password | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.<your region>.amazonaws.com
要么
您还可以使用 --get-login 方法(但公开凭据)(不推荐)。
适用于 linux 和 mac
$(aws ecr get-login --region <your region> --no-include-email)
用于窗户
Invoke-Expression -Command (Get-ECRLoginCommand -Region <your region>).Command
如果您登录成功,那么您就可以开始了。 否则请参阅aws 文档以获取错误
步骤 - 3
标记您的图像
docker 标签 <aws_account_id>.dkr.ecr..amazonaws.com/my-web-app
使用以下命令推送您的图像。
docker push <aws_account_id>.dkr.ecr..amazonaws.com/my-web-app
注意:这是基于令牌的登录,生成的授权令牌仅对 12H 有效
我遇到了同样的问题,我犯的错误是使用了错误的回购路径
例如: docker push xxxxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/jenkins:latest
在上面的路径中,这是我犯错误的地方:在"dkr.ecr.us-east-1.amazonaws.com"
而不是"west"
。 我用的是“ east"
。 一旦我纠正了我的错误,我就能够成功推送图像。
以下命令对我有用:
sudo $(aws ecr get-login --region us-east-1 --no-include-email)
然后我运行这些命令:
sudo docker tag e9ae3c220b23(image_id) aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app
sudo docker push aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app
只是添加到这一点,以防有人像我一样从不阅读 F 手册
我按照上面的所有建议步骤进行操作,例如
aws ecr get-login-password --region eu-west-1 | docker login --username AWS --password-stdin 123456789.dkr.ecr.eu-west-1.amazonaws.com
并且总是没有基本的身份验证凭据
我创建了一个名为的注册表
123456789.dkr.ecr.eu-west-1.amazonaws.com/my.registry.com/namespace
并试图推送一个名为 alpine:latest 的图像
123456789.dkr.ecr.eu-west-1.amazonaws.com/my.registry.com/namespace/alpine:latest
2c6e8b76de: Preparing
9d4cb0c1e9: Preparing
1ca55f6ab4: Preparing
b6fd41c05e: Waiting
ad44a79b33: Waiting
2ce3c1888d: Waiting
no basic auth credentials
代表我犯了一个愚蠢的错误,因为我必须使用完整的容器路径在 ecr 中创建一个注册表。
我使用完整的容器路径创建了一个新的注册表,而不是以命名空间结束
123456789.dkr.ecr.eu-west-1.amazonaws.com/my.registry.com/namespace/alpine
和低看推到
123456789.dkr.ecr.eu-west-1.amazonaws.com/my.registry.com/namespace/alpine:latest
The push refers to repository [123456789.dkr.ecr.eu-west-1.amazonaws.com/my.registry.com/namespace/alpine]
0c8667b5b: Pushed
730460948: Pushed
1.0: digest: sha256:e1f814f3818efea45267ebfb4918088a26a18c size: 7
工作得很好
我在 OSX 上运行时也遇到了这个问题。 我看到了 Oliver Salzburg 的回复并检查了我的 ~/.docker/config.json。 它有多个来自我拥有的不同 AWS 账户的授权凭证。 我删除了该文件,并在再次运行 get-login 后它起作用了。
确保在aws ecr get-login
使用正确的区域,它必须与创建存储库的区域相匹配。
我的问题是有多个 AWS 凭证; 默认和开发。 由于我试图部署到开发人员,因此工作正常:
$(aws ecr get-login --no-include-email --region eu-west-1 --profile dev | sed 's|https://||')
FWIW,Debian 9,Docker 版本 18.06.1-ce,构建 e68fc7a:
$(aws ecr get-login | sed 's| -e none | |g')
如果您使用多个配置文件并且需要登录到非默认配置文件,则需要使用以下命令登录:
$(AWS_PROFILE=<YOUR PROFILE> aws ecr get-login --no-include-email --region eu-west-1)
有一种非常简单的方法可以将 docker 镜像推送到 ECR: Amazon ECR Docker Credential Helper 。 只需根据提供的指南安装它,更新你的~/.docker/config.json
如下:
{
"credsStore": "ecr-login"
}
你将能够在没有docker login
情况下推/拉你的图像。
cat ~/.docker/config.json
示例结果:
{
"auths": {
"https://55511155511.dkr.ecr.us-east-1.amazonaws.com": {}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.5 (darwin)"
},
"credsStore": "osxkeychain"
}
请注意,“auths”值是一个空对象,并且 docker 正在使用凭证存储“osxkeychain”。
注意Where:
字段
~/.docker/config.json
中的auths
键与钥匙串访问中的Where:
字段匹配。 如果 ~/.docker/config.json 中的auths
键与钥匙串中的Where:
字段不匹配,您可能会从docker login...
获得Login Succeeded
docker login...
但仍然得到ERROR: Service 'web' failed to build: Get https://55511155511.dkr.ecr.us-east-1.amazonaws.com/v2/path/to/image/latest: no basic auth credentials
尝试拉取时ERROR: Service 'web' failed to build: Get https://55511155511.dkr.ecr.us-east-1.amazonaws.com/v2/path/to/image/latest: no basic auth credentials
。
就我而言,我需要添加https://
原来的
"auths": {
"55511155511.dkr.ecr.us-east-1.amazonaws.com": {}
},
固定的
"auths": {
"https://55511155511.dkr.ecr.us-east-1.amazonaws.com": {}
},
我也在为此苦苦挣扎。 请按照以下步骤操作 -
请注意 - in.dkr.ecr.us-west-2.amazonaws.com,该区域将是您的默认区域。 对我来说是 us-west-2,因此也是一样的。
希望这可以节省您的时间。
我们今天也遇到了这个问题并尝试了本文中提到的所有内容(生成AWS凭证除外)。
我们最终通过简单地升级Docker解决了这个问题,然后推动了工作。
Docker 1.10.x遇到了问题,并使用Docker 1.11.x解决了这个问题。
希望这可以帮助
如果要隔离用于CI / CD目的的AWS账户并在多个AWS账户之间共享一个ECR存储库,则可能需要手动更改~/.docker/config.json
。
假设你有这些设置:
00000000000000
99999999999999
如果你打电话给aws ecr get-login --region us-west-2 | bash
在CI服务器中进行aws ecr get-login --region us-west-2 | bash
, ~/.docker/config.json
将在~/.docker/config.json
生成临时凭证。
{
"auths": {
"https://99999999999999.dkr.ecr.us-west-2.amazonaws.com": {
"auth": "long-token.."
}
}
}
但是您想要指向ECR的帐户,因此您需要更改主机名。
{
"auths": {
"https://00000000000000.dkr.ecr.us-west-2.amazonaws.com": {
"auth": "long-token.."
}
}
}
请注意,这种情况依赖于您如何形成IAM用户/策略以允许ECR访问。
您必须确保使用正确的凭据登录,请参阅官方错误说明并在此处进行检查
http://docs.aws.amazon.com/AmazonECR/latest/userguide/common-errors-docker.html
链接中描述了修复“无基本身份验证”
aws ecr get-login --region us-west-1 --no-include-email
此命令为我提供了正确的登录命令。 如果你不使用“--no-include-email”,它将引发另一个错误。 上面命令的输出看起来像这个docker登录-u AWS -p **********************非常大的******。 复制并执行它。 现在它将显示“Login Succeeded”。 现在您可以将图像推送到ECR。
确保您的AMI规则具有您尝试登录的用户的权限。
只需运行第一步中返回的任何内容即可解决问题。
该错误消息来自docker,它不一定与AWS有关,因为我在不使用AWS时遇到了同样的错误...它只是说docker没有获得授权从任何来源的auth进行处理它碰巧正在使用
在我的情况下,在测试中我删除了目录〜/ .docker并得到了该错误...在我弹回我的本地docker注册表然后docker push很好
在我的情况下(可能在所有情况下),此错误是由于拥有多个AWS账户造成的。 因此,AWS ECR未使用与aws帐户相关的正确aws凭据。
我试过这里提到的多个解决方案,但没有成功。 它在使用令牌而不是用户名和密码后起作用 。 我按照这里的说明工作了。 https://btburnett.com/2017/01/docker-login-for-amazon-aws-ecr-using-windows-powershell.html
我添加了区域选项,一切正常对我来说很好:
aws ecr get-login --no-include-email --region eu-west-3
我在 Docker 论坛上发布了一个答案。 就我而言,问题是 centos “docker” 不等同于 Docker CE,因此失败:
没有基本身份验证
我只是通过在 centos 上安装“docker-ce”来修复。
参考: https://forums.docker.com/t/docker-push-to-ecr-failing-with-no-basic-auth-credentials/17358/30
我遇到了同样的问题并用这个命令修复了它。 它对我有用,请根据您的帐户更新它。 这适用于 Ubuntu 机器,其中 AWS-CLI 需要安装 Docker
algorithm_name='multi-model-xgboost'
account=$(aws sts get-caller-identity --query Account --output text)
# Get the region defined in the current configuration
region=$(aws configure get region)
aws ecr get-login-password --region ${region} | docker login --username AWS --password-stdin ${account}.dkr.ecr.${region}.amazonaws.com/${algorithm_name}
所以我通过下载 repo 并自己编译来安装aws-credentials-helper
。 我发现我使用了错误的编译命令: make docker
而不是make docker TARGET_GOOS=darwin
(我在 Mac 上)。 生成的bin/local/docker-credential-ecr-login
最初无法执行。
I had to run aws ecr get-login-password due to aws cli deprecating the get-login command.
Also in this version the username is forced to be hard coded as AWS.
Here was the command that worked for aws-cli/2.0.58.
aws ecr get-login-password --region region_y | docker login --username AWS --password-stdin account_x.dkr.ecr.region_y.amazonaws.com
登录成功
在 Windows 系统上,您必须清空以下文件~/.docker/config.json
然后再次运行以下脚本
aws ecr get-login --no-include-email --region ap-southeast-1 --profile [profile_name]
确保您在本地运行 Docker 的用户是您最终用于推送映像的用户。 对我来说,使用 sudo 运行导致了这个问题。 从命令中删除 sudo 解决了它。 希望这有助于并节省某人的时间,并且没有人再次犯同样的愚蠢错误。 下面是 output 供您参考。
sudo docker push {your-account-id}.dkr.ecr.us-east-1.amazonaws.com/{repository-name}:{tag-name}
The push refers to repository [{your-account-id}.dkr.ecr.us-east-1.amazonaws.com/{repository-name}]
f13afaa342eb: Preparing
d01b75ce3235: Preparing
7eaa58141607: Preparing
519e8c5b2557: Preparing
15d4a3a33fec: Preparing
fdbbf41b1ab8: Waiting
4b88ecda5399: Waiting
e23a8e1e773f: Waiting
6623e2cc11cd: Waiting
no basic auth credentials
在没有 sudo 的情况下运行非常好
docker push {your-account-id}.dkr.ecr.us-east-1.amazonaws.com/{repository-name}:{tag-name}
The push refers to repository [{your-account-id}.dkr.ecr.us-east-1.amazonaws.com/{repository-name}]
f13afaa342eb: Pushed
d01b75ce3235: Pushed
7eaa58141607: Pushed
519e8c5b2557: Pushed
15d4a3a33fec: Pushed
fdbbf41b1ab8: Pushed
4b88ecda5399: Pushed
e23a8e1e773f: Pushed
6623e2cc11cd: Pushed
{tag-name}: digest: sha256:5ceaa5bf7605559582960b6d56a8eece9486ce0950bca9dd63a0dcd38a520bf0 size: 4293
AWS depriated get-login 而不是那个,请使用以下命令
aws ecr get-login-password --region <region> | docker login --username AWS --password-stdin <ecr-repo-full-path>
例子
aws ecr get-login-password --region ap-south-1 | docker login --username AWS --password-stdin 607348619222.dkr.ecr.ap-south-1.amazonaws.com
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.