[英]Allow pulling from ECR ecr.dkr VPC Endpoint, but not pushing?
是否可以在其附加策略中允许从 Docker API VPC 端点 ( com.amazonaws.<region>.ecr.dkr
) 拉取但不推送?
除了"*"
之外,我找不到任何支持的操作的参考,有没有办法指定只拉? 还是通过条件?
是的,您可以使用 VPC 终端节点策略来实现这一点。
这是文档中的一个示例。 此策略允许特定 IAM 角色从 Amazon ECR 中提取图像:
{
"Statement": [{
"Sid": "AllowPull",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Effect": "Allow",
"Resource": "*"
}]
}
在 AWS 控制台中,将您的实例(可能是所有可能的安全组)正在使用的安全组添加到 VPC 端点。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.