Cho phép ECS ở AWS account A pull ECR Images tại AWS account B

Cho phép ECS ở AWS account A pull ECR Images tại AWS account B

Share Everywhere

Table of contents

Bước 1:

Tạo permission policy cho ECR repository chứa image mà khách hàng muốn chỉ định:

  • Mở ECR console
  • Chọn tên Repository chứa image mong muốn
  • Ở naviagation pane bên tay trái, chọn “Permissions”. Chọn “Edit policy JSON” và dán vào đó policy:
{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "AllowPushPull",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:root"
            },
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload"
            ]
        }
    ]
}

Thay account-id ở “arn:aws:iam::account-id:root” thành id của account môi trường thật.

Bước 2:

Trong task definition tạo ở môi trường thật, chỉ định image uri như sau:

aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:<tag>

Có thể lấy uri này bằng cách chọn Copy URI của image trên console ECR ở môi trường phát triển

Lưu ý: Hãy chắc chắn rằng Task định nghĩa ở môi trường thật có các quyền ECR được liệt kê trong managed policy (với fargate, còn với ec2 launch type thì như trong link tài liệu) “AmazonECSTaskExecutionRolePolicy”

Tài liệu:

https://aws.amazon.com/premiumsupport/knowledge-center/ecs-tasks-pull-images-ecr-repository/?nc1=h_ls

https://aws.amazon.com/premiumsupport/knowledge-center/secondary-account-access-ecr/?nc1=h_ls

⇒ Comment: Cách làm của AWS ec2 launch type và fargate như nhau, chỉ khác ở đoạn role trong task definition thôi

Bạn thấy bài viết này như thế nào?
1 reaction

Add new comment

Restricted HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

Bài viết liên quan

Khám phá FinOps

Khám phá FinOps - công nghệ đám mây

Nhiều doanh nghiệp ngày nay lựa chọn chuyển sang công nghệ đám mây với hi vọng đạt được lợi thế cạnh tranh so với đối thủ nhờ tiềm năng về hiệu quả cao và tiết kiệm chi phí hơn của công nghệ này.
Microservices Roadmap

Microservices Roadmap

- Kafka, RabbitMQ, Amazon SQS: Efficient and reliable message brokers for seamless communication between microservices.
The Data Analyst Roadmap

The Data Analyst Roadmap

**Database Knowledge**: Gain proficiency in working with databases like MySQL, PostgreSQL, or MongoDB.
Architectural patterns in software design

Architectural patterns in software design

Choose the architecture that aligns with your application's unique needs and goals. Each pattern offers a tailored approach to elevate your software system!
Exploring the Technological Marvel Behind Netflix

Exploring the Technological Marvel Behind Netflix

Ever wondered about the tech wizardry that powers your binge-watching adventures on Netflix?