Чем политики репозитория ECR отличаются от политик IAM?

Question

Чем политики репозитория ECR отличаются от политик IAM?

Чем политики ECR отличаются от политик IAM?

Язык вокруг политик ECR, кажется, указывает, что это похоже на политику S3.

Позволяет ли вам предоставить доступ, не используя IAM?

Если я хочу предоставить другой учетной записи доступ к реестру, могу ли я использовать политику ECR или мне по-прежнему нужна роль кросс-учетной записи?

2

amazon-web-services amazon-iam amazon-ecr aws-ecr

Источник

user2115867 10 июл '18 в 04:31

1 ответ

Другие вопросы по тегам amazon-web-services amazon-iam amazon-ecr aws-ecr

user112821 11 дек '19 в 00:58 2019-12-11 00:58 · Answer 1 · 2019-12-11 00:58

Формулировка политик ECR, похоже, указывает на то, что они похожи на политику корзины S3.

Ага, они есть. Как политики репозитория ECR, так и политики корзины S3 управляют разрешениями конкретных ресурсов, а не разрешениями участников (идентификаторов). В случае ECR он позволяет вам определять разрешения для определенного репозитория.

Можно ли предоставлять доступ без использования IAM?

Вроде. Для выражения некоторых видов разрешений вам потребуются как политика IAM, так и политика репозитория. Например, политика IAM для пользователя может иметь такие разрешения, какecr:* чтобы позволить пользователю выполнять вызовы API в ECR, а затем политика репозитория может предоставить контроль над конкретным репозиторием.

Если я хочу предоставить другой учетной записи доступ к реестру, могу ли я использовать политику ECR или мне все еще нужна роль перекрестной учетной записи?

Это один из основных вариантов использования политик репозитория. Пользователь в аккаунтеA может иметь разрешение на выполнение вызовов ECR API с ecr:*в политике IAM. Репозиторий в аккаунтеB затем может предоставить доступ к учетной записи для нескольких учетных записей A, после чего счет A пользователю не нужно брать на себя роль перекрестного аккаунта, чтобы получить доступ к репозиторию.

user3421767 10 июл '18 в 04:48 2018-07-10 04:48 · Answer 2 · 2018-07-10 04:48

Согласно документации, вы можете разрешить кросс-аккаунт доступ к вашему ECR только с политикой репо:

В качестве Принципала выберите область пользователей, к которой применяется заявление о политике.
Вы можете применить это заявление ко всем аутентифицированным пользователям AWS, установив флажок "Все".
Вы можете применить выписку ко всем пользователям в определенных учетных записях AWS, указав эти номера учетных записей (например, 111122223333) в поле "Номера учетных записей AWS".
Вы можете применить это заявление к ролям или пользователям в вашей учетной записи AWS, проверив роли или пользователей в списке Все объекты IAM и выбрав >> Добавить, чтобы переместить их в список Выбранные объекты IAM.

Таким образом, вам не нужно настраивать допущение роли между учетными записями, но я полагаю, что вам придется предоставить соответствующие разрешения пользователям / группам / ролям в удаленной учетной записи, чтобы они могли общаться с вашим ECR.