允许从ECR ECR.DKR VPC端点拉出,但不推动?
在其附件策略中,可以允许从但不推入Docker API VPC端点(com.amazonaws。
除“*”之外,我找不到任何支持操作的参考,是否有一种方法可以指定拉力?还是通过条件的东西?
It is possible to allow pulling from but not pushing to the Docker API VPC Endpoint (com.amazonaws.<region>.ecr.dkr) in its attached policy?
I can't find a reference for any supported actions other than "*", is there a way to specify pull only? Or something via a condition?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
是的,您可以通过VPC端点策略实现这一目标。
这是文档)的示例。该政策使特定的IAM角色可以从Amazon ECR中汲取图像:
Yes, you can achieve this with a VPC endpoint policy.
Here's an example from the documentation. This policy enables a specific IAM role to pull images from Amazon ECR:
在AWS控制台中,将您的实例(也许所有可能的安全组)使用的安全组添加到VPC端点。
In AWS Console, add security groups that your instances (maybe all possible security groups) are using to the VPC endpoints.