AWS CodePipeline 构建失败

Question

我的管道的 CodeBuild 部分不断失败，并出现以下错误：

BUILD_CONTAINER_UNABLE_TO_PULL_IMAGE: Unable to pull customer's container image. CannotPullContainerError: Error response from daemon: pull access denied for 123456789.dkr.ecr.us-east-1.amazonaws.com/diag_test, repository does not exist or may require 'docker login': denied: User: CodeBuild

我做了一些初步研究，发现它使用的 IAM 角色可能没有足够的权限，所以我将 AmazonEC2ContainerRegistryFullAccess 策略附加到该角色并再次尝试 - 结果相同。

我验证了 URI 是正确的。

我错过了什么？

buildspec.yaml 下面：

version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws --version
      - aws ecr get-login-password --region us-east-1 | docker login --username AWS --password-stdin 12345678.dkr.ecr.us-east-1.amazonaws.com
      - REPOSITORY_URI=12345678.dkr.ecr.us-east-1.amazonaws.com/diag_test
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $REPOSITORY_URI:latest .
      - docker tag $REPOSITORY_URI:latest $REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $REPOSITORY_URI:latest
      - docker push $REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      - printf '[{"name":"diag_test","imageUri":"%s"}]' $REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json
artifacts:
    files: imagedefinitions.json

在此先感谢您的协助：:)

Answer 1

如果您在 CodeBuild 管道中拉取 ECR 映像，则应添加以下行：

aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ACCOUNT_NUMBER.dkr.ecr.$AWS_DEFAULT_REGION.amazonaws.com

您需要像使用 Docker 登录一样登录。

如果您为 CodeBuild 使用自定义图像，则应添加 ECR 策略