К сожалению Документация AWS Не дает нам полных настройки разрешения для вытягивания изображений из ECR. А также Если вы используете только
{ "Version": "2008-10-17", "Statement": [ { "Sid": "AllowPull", "Effect": "Allow", "Principal": "*", "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability" ] } ] }
… ты получишь IAM-ROLE/LONG-NUMER не разрешается выполнять: ECR: GetAuthorizationToken на ресурсе: * Код статуса: 400
И вам действительно нужно настроить ECR: GetauthorizationToken Rights на * ресурс. Так что полная политика будет:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability" ], "Resource": "arn:aws:ecr:eu-central-1:*:repository/*" }, { "Sid": "", "Effect": "Allow", "Action": "ecr:GetAuthorizationToken", "Resource": "*" } ] }
Оригинал: «https://dev.to/webchi/real-amazon-ecr-repository-policy-4l31»