ECR 策略与 IAM 策略有何不同?
ECR 策略周围的语言似乎表明它类似于 S3 存储桶策略。
它是否允许您在不使用 IAM 的情况下授予访问权限?
如果我想授予另一个帐户对注册表的访问权限,我可以使用 ECR 策略还是仍然需要跨帐户角色?
2 回答
2
ECR 策略周围的语言似乎表明它类似于 S3 存储桶策略。
是的,他们是。ECR 存储库策略和 S3 存储桶策略都控制特定资源的权限,而不是委托人(身份)的权限。对于 ECR,它允许您定义特定存储库的权限。
它是否允许您在不使用 IAM 的情况下授予访问权限?
有点。您需要 IAM 策略和存储库策略来表达某些类型的权限。例如,针对用户的 IAM 策略可能具有权限,例如ecr:*为了允许用户对 ECR 进行 API 调用,然后存储库策略可能会授予对特定存储库的控制权。
如果我想授予另一个帐户对注册表的访问权限,我可以使用 ECR 策略还是仍然需要跨帐户角色?
这是存储库策略的主要用例之一。账户中的用户A可能有权ecr:*在 IAM 策略中进行 ECR API 调用。然后account 中的存储库B可以授予对 account 的跨帐户访问权限A,此时帐户A用户无需承担跨帐户角色即可访问存储库。
于 2019-12-10T21:58:11.403 回答
1
根据文档,您可以仅使用回购策略允许跨账户访问您的 ECR:
对于 Principal,选择要应用策略声明的用户范围。
您可以通过选中所有人复选框将该语句应用于所有经过身份验证的 AWS 用户。
您可以通过在 AWS 帐号字段中列出这些帐号(例如,111122223333),将声明应用于特定 AWS 账户下的所有用户。
您可以通过检查所有 IAM 实体列表下的角色或用户并选择 >> 添加将它们移动到选定的 IAM 实体列表,将语句应用于您的 AWS 账户下的角色或用户。
因此,您不需要设置跨账户角色假设,但我想您必须向远程账户中的用户/组/角色授予适当的权限,以允许他们与您的 ECR 交谈。
于 2018-07-10T04:48:12.927 回答