Amazon web services 有没有一种方法可以跨我的组织或不同的帐户共享我的ECR存储库?
我希望在启用跨帐户策略的帐户中实现此而不必单独推送它。有没有一种方法可以在我的lambda函数中提到其他帐户的图像uri路径,这样它就可以从源帐户获取我的docker图像Amazon web services 有没有一种方法可以跨我的组织或不同的帐户共享我的ECR存储库?,amazon-web-services,docker,amazon-iam,amazon-ecr,Amazon Web Services,Docker,Amazon Iam,Amazon Ecr,我希望在启用跨帐户策略的帐户中实现此而不必单独推送它。有没有一种方法可以在我的lambda函数中提到其他帐户的图像uri路径,这样它就可以从源帐户获取我的docker图像 我的映像已经存在于其中一个帐户中,我们称之为ACC A。现在我想在ACC B中使用相同的回购,而不必在ACC B中再次推送该映像。跨帐户方法 首先在您的帐户BLambda IAM角色中添加ecr:GetAuthorizationToken权限,以便对ecr存储库进行身份验证 { "Version":
我的映像已经存在于其中一个帐户中,我们称之为ACC A。现在我想在ACC B中使用相同的回购,而不必在ACC B中再次推送该映像。跨帐户方法 首先在您的
帐户Becr:GetAuthorizationToken{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
帐户AECR存储库(在权限中)111111111111{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountPush",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:root"
},
"Action": [
"ecr:BatchCheckLayerAvailability,
"ecr:BatchGetImage,
"ecr:CompleteLayerUpload,
"ecr:GetDownloadUrlForLayer",
"ecr:InitiateLayerUpload",
"ecr:BatchCheckLayerAvailability",
"ecr:PutImage",
"ecr:UploadLayerPart"
]
}
]
}
引导您完成设置(它将ECS作为图像的消费服务,但同样的概念也适用于Lambda)我按照另一个答案中的博文进行了回答,发现它与添加一样简单
{
“版本”:“2008-10-17”,
“声明”:[
{
“Sid”:“共享开发”,
“效果”:“允许”,
“委托人”:“*”,
“操作”:“ecr:描述图像”,
“条件”:{
“ForAnyValue:StringLike”:{
“aws:主要路径”:[
“o-/r-/ou-/*”
]
}
}
}
]
}
{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
现在,在
sub-ou id子流程docker