我有一个带有K8S群集的亚马逊帐户,该群集能够从同一帐户的ECR存储库中提取图像。
但是,我的公司还有另一个帐户和另一个ECR存储库。如何从这个"外部"中提取图像? ECR存储库?
我也是Rancher用户,我曾经通过安装一个能完成这项工作的特殊容器(https://github.com/rancher/rancher-ecr-credentials)来做到这一点。
Kubernetes是否有相同的东西?
感谢您的宝贵帮助
答案 0 :(得分:2)
由于您已经具有从同一帐户提取图像的此设置,您可以使用IAM策略级别或ECR权限执行此操作,在您的其他AWS账户中设置指定AWS账号(其中k8是)的策略能够拉图像
例如,ECR权限选项卡中的授予提取权限
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "k8s-aws-permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws_account_number:root"
},
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability"
]
}
]
}