我正在尝试推送到 AWS 注册表(通过 Kaniko)。在注册表帐户中,有一个角色functional,我的帐户应该承担。所以我尝试生成一个.docker/config.json通过:
set -o errexit -o nounset -o pipefail
export HOME=/root
mkdir -p "/root/.aws/"
cat <<EOF > /root/.aws/credentials
[functional]
role_arn = arn:aws:iam::359685361593:role/functional
source_profile = default
[default]
aws_access_key_id=$AWS_ACCESS_KEY_ID
aws_secret_access_key=$AWS_SECRET_ACCESS_KEY
EOF
export AWS_DEFAULT_REGION=eu-central-1
export AWS_SDK_LOAD_CONFIG=true
export AWS_PROFILE=functional
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
docker_cmd=$(aws ecr get-login --no-include-email)
url=$(echo "$docker_cmd" | sed -rn 's/docker login -u (.*) -p (.*) (.*)/\3/p')
auth=$(echo "$docker_cmd" | sed -rn 's/docker login -u (.*) -p (.*) (.*)/\1:\2/p')
auth=$(echo -n "$auth" | base64 -w 0)
cat <<EOF > /kaniko/.docker/config.json
{
"auths": {
"$url": {
"auth": "$auth"
}
}
}
EOF
最后,我得到了一个,config.json但它不起作用。Kaniko 打印status code 401; Not Authorized。
现在我假设,假设的角色以某种方式失败了。但我不知道,如何获得config.json一个假定的角色。
有没有办法调试这个,或者有没有更简单的方法来承担角色?