ECR policies与IAM政策有何不同?
围绕ECR策略的语言似乎表明它与S3存储桶策略相似。
是否允许您不使用IAM授予访问权限?
如果我想授予另一个帐户访问注册表的权限,我可以使用ECR策略还是仍然需要交叉帐户角色?
答案 0 :(得分:2)
围绕ECR策略的语言似乎表明它与S3存储桶策略相似。
是的,他们是。 ECR存储库策略和S3存储桶策略都控制特定资源的权限,而不是主体(身份)的权限。对于ECR,它使您可以定义特定存储库的权限。
是否允许您不使用IAM授予访问权限?
排序。您需要IAM策略和存储库策略来表达某些类型的权限。例如,用户的IAM策略可能具有ecr:*
之类的权限,以允许用户对ECR进行API调用,然后存储库策略可能会授予对特定存储库的控制权。
如果我想授予另一个帐户访问注册表的权限,我可以使用ECR策略还是仍然需要交叉帐户角色?
这是存储库策略的主要用例之一。帐户A
中的用户可能有权使用IAM策略中的ecr:*
进行ECR API调用。然后,帐户B
中的存储库可以授予对帐户A
的跨帐户访问权限,此时帐户A
用户无需承担跨帐户角色即可访问帐户{存储库。
答案 1 :(得分:1)
根据documentation,您可以只使用回购策略就可以跨帐户访问您的ECR:
对于“主体”,选择要应用策略声明的用户范围。
您可以通过选中“所有人”复选框将语句应用于所有经过身份验证的AWS用户。
您可以通过在AWS帐号字段中列出这些帐号(例如111122223333),将该语句应用于特定AWS帐号下的所有用户。
您可以通过在“所有IAM实体”列表下检查角色或用户,然后选择>>添加以将其移动到“选定的IAM实体”列表中,将该语句应用于AWS账户下的角色或用户。
因此,您无需设置跨帐户角色假设,但我想您将不得不向远程帐户中的用户/组/角色授予适当的权限,以允许他们与您的ECR对话。 / p>