17

我有 2 个 AWS 账户: - 具有 ECR 存储库的账户 A。- 具有运行 Fargate 的 ECS 集群的账户 b。

我在账户 A 中创建了一个与账户 B 具有信任关系的“跨账户”角色,我还为该角色附加了“AmazonEC2ContainerRegistryPowerUser”策略。

我通过将账户 B 的 ID 和“跨账户”角色添加到存储库策略来授予对账户 A 中 ECR 存储库的访问权限。

我将一个策略附加到 Fargate“TaskExecutionRole”,允许 Fargate 承担“跨账户”角色。

当尝试在账户 B 中部署 Fargate 任务并引用账户 A 中的图像时,我收到 500 错误。

4

1 回答 1

27

Fargate 不会自动承担跨账户角色。幸运的是,您无需在另一个帐户中担任角色即可从该帐户的 ECR 存储库中提取图像。

要在 ECR 中启用对图像的跨账户访问,请在账户 A 的存储库中添加账户 B 的访问权限(通过设置存储库策略),然后在账户 B 中指定有权从 ECR 中提取的 TaskExecutionRole(“ecr:GetDownloadUrlForLayer” 、“ecr:BatchGetImage”、“ecr:BatchCheckLayerAvailability”)。

例如,在账户 A 中的存储库上设置存储库策略,如下所示:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "AllowCrossAccountPull",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_B_ID:root"
      },
      "Action": [
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage"
      ]
    }
  ]
}

然后,将账户 B 中的 TaskExecutionRole 设置为具有如下策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage"
      ],
      "Resource": "*"
    }
  ]
}

或者,您可以为 TaskExecutionRole 使用托管策略AmazonECSTaskExecutionRolePolicy,而不是定义自己的策略。

于 2018-10-22T17:33:38.230 回答