嗨,我正尝试从帐户A推送到帐户B中的回购交易。
我在https://aws.amazon.com/premiumsupport/knowledge-center/secondary-account-access-ecr/上看到了一篇有趣的文章,内容涉及使用ECR的权限界面来设置跨帐户访问权限。
在示例中,他们使用帐户root或用户进行推送。我想知道使用角色而不是用户是否也可以实现相同的目的。我在存储库上使用以下策略:
{
"Statement": [
{
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:CompleteLayerUpload",
"ecr:GetDownloadUrlForLayer",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Principal": {
"AWS": [
"arn:aws:iam::<>:role/<>"
]
},
"Effect": "Allow",
"Sid": "AllowCrossAccountPush"
}
],
"Version": "2008-10-17"
}
在尝试进行推送时,这当然会导致一个ecr:GetAuthorizationToken。我不确定将这些权限添加到此策略的位置,因为它仅适用于一个存储库。
编辑:我知道交叉帐户角色也可以实现这一点,但是我认为在帐户A中没有任何策略能够在帐户B中执行操作的角色非常有趣
谢谢