我知道我们需要登录ECR从AWS ECR中提取docker镜像。我怎么能匿名?由于我们将代码,数据和基础架构(所有开源)分开,因此我们发现基础架构部分不需要是私有的。
我能够找到使用*创建权限的方法,不知道如何将其设为匿名,以便任何想要下载的人都不需要IAM用户访问。
以下是政策,
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "AllowPublic",
"Effect": "Allow",
"Principal": "*",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability"
]
}
]
}
不确定如何创建匿名IAM用户。
答案 0 :(得分:2)
如果您阅读FAQ
问:Amazon ECR可以托管公共容器图像吗?
Amazon ECR目前支持私有图片。但是,使用基于IAM资源的权限,您可以为每个存储库配置策略,以允许访问IAM用户,角色或其他AWS账户。
我能想到的唯一解决方法可能是将EC2机器和NGINX用于proxy_pass到ECR URL并使用EC2 IP用于docker repo
答案 1 :(得分:0)
自 2020 年 12 月 1 日起,您可以使用 ECR public 匿名拉取容器镜像。
指向 How To 和 Launch Announcement 的链接
<块引用>任何匿名提取图像的人都可以获得 500 GB 的免费数据带宽 每个月之后,他们可以注册或登录 AWS 帐户。只需使用 AWS 账户进行身份验证即可增加免费数据 从 Internet 提取图像时,每个月的带宽增加到 5 TB。 最后,在 AWS 中运行的工作负载将获得无限数据 从 ECR Public 拉取时来自任何区域的带宽。