What's This
ECRを構築したAWSアカウントではない、他のAWSアカウントからリポジトリを使用する機会があったので、まとめました。簡易なメモです。
ドキュメント通り。
前提
重要
Amazon ECR では、ユーザーがレジストリへの認証を行って、Amazon ECR リポジトリに対するイメージのプッシュまたはプルを行う前に、IAM ポリシーを介して ecr:GetAuthorizationToken API への呼び出しを行う許可が必要です。Amazon ECR には、さまざまなレベルでユーザーアクセスを制御するいくつかのマネージド IAM ポリシーが用意されています。詳細については、「Amazon Elastic Container Registry のアイデンティティベースのポリシーの例」を参照してください。
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/set-repository-policy.html
IAM ポリシーを介して ecr:GetAuthorizationToken
を許可しています。
自分の場合だと、EKSでPodを立ち上げたい(ECRからPulllして)ので、 eks node groupのIAMロールにAmazonEC2ContainerRegistryReadOnly
を追加しています。
How to do
アカウントIDを入力。
許可するアクションを選択。
Reference
・社内有識者
・https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/set-repository-policy.html