我正在为两个帐户使用ECS存储库,一个用于non_prod另一个用于prod。回购是non_prod帐户的一部分
我发现的问题是,即使从non_prod帐户存储库访问prod帐户,prod帐户也无法提取docker镜像。并抱怨Docker镜像不存在。
我仍然可以访问存储库,但是因为prod帐户认为不存在而不是拉图像
显然,图像存在,因为它在non_prod环境中使用。 另外我比较了〜/ .docker / config.json凭证,并且连接到我在non_prod帐户上的ECS仓库也一样。
我甚至尝试在时间上危险的给予回购中的所有访问权,但仍然没有。有什么想法在这里错了吗?
问候。
答案 0 :(得分:2)
我们在我们的环境中使用相同的设置,它对我们来说非常好。确保您正在执行以下操作:
1)访问容器时,您将在login命令中传递--registryid参数,基本上是
aws ecr get-login --region us-east-1 --registry-ids <value here> | /bin/sh
2)您已经在ECR存储库中为prod帐户授予了访问权限,主要是在ECR repo的权限部分,在Prinicipal中有一个条目为arn:aws:iam ::: root,并且有正确的权限用于推拉操作。
如果你正在做这两件事并且仍然无法访问容器,请告诉我。