使用ECR存储用于ECS的容器映像时,EC2实例(或Fargate服务)必须具有一个安全组,该安全组允许(通过公共Internet)访问帐户特定的存储库URI。
许多组织都有严格的IP白名单规则,该规则通常不允许为所有IP启用出站端口443。
没有可用于ECR的VPC终结点接口/网关,并且大概像大多数AWS服务一样,其IP地址是弹性的,并且可以随时更改。
那么如何在安全组中添加一个出口规则,该规则允许通过端口443对ECR URI进行出站访问,而无需将其开放给所有IP地址?
答案 0 :(得分:1)
尽管端点的IP地址可以更改,但它只能更改为相当大的CIDR块中的另一个IP地址。亚马逊将其所有IP地址范围发布在一个.json文件中,该文件可在此处获取:
https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/
您可以将其范围缩小到部署到的区域中的EC2和AMAZON服务的IP地址范围。尽管范围很大。
答案 1 :(得分:0)
打开
DNS (UDP) 53 for 0.0.0.0/0和HTTPS 443 for 0.0.0.0/0