如何检查 AWS ECR 身份验证令牌是否未过期？

Question

我正在使用 AWS ECR 来存储 docker 图像。在我的管道工作流程中，要将图像推送到 ECR，我需要获取身份验证令牌以将 docker 身份验证到 AWS ECR。我通过运行aws ecr get-login-password 命令来做到这一点。这一切都很好。

现在，当我必须重复此操作时，理想情况下我不想立即获得新令牌，因为前一个令牌有效期为 12 小时。如何检查现有令牌是否仍然有效且未过期？找不到任何aws cli 命令来执行此操作？

Answer 1

为了防止多个token从同一台机器登录，我们实现了cron作业来定期刷新token。

这就是我们为部署解决这个问题的方式。

先决条件：

• AWS 凭证已在机器上配置
• AWS cli 已安装在机器上

适用于 Linux/Unix 机器

1. 为令牌刷新创建一个 shell 脚本 refreshToken.sh。

#!/bin/bash
aws ecr get-login-password --region us-east-1 | docker login --username AWS --password-stdin <YOUR_AWS_ACCOUNT_ID>.dkr.ecr.us-east-1.amazonaws.com

1. 将文件放在 /opt/ecr-cred-refresh 位置

2. 执行以下命令创建一个定时任务来定期刷新token。

crontab -e

4. 在编辑器中输入以下文本以每 12 小时刷新一次令牌

0 */12 * * *  /etc/ecr-cred-refresh/refreshToken.sh

适用于 Windows 机器

1. 为令牌刷新创建一个 bat 文件 refreshToken.bat。

aws ecr get-login-password --region us-east-1 | docker login --username AWS --password-stdin <YOUR_AWS_ACCOUNT_ID>.dkr.ecr.us-east-1.amazonaws.com

1. 创建计划任务。转到控制面板\所有控制面板项\管理工具

2. 点击任务调度器。

4. 单击“操作”选项卡并选择“创建任务”。

5. 提供姓名等基本信息。

6. 单击触发器选项卡。点击新建。

1. 提供触发器详细信息。

8. 现在单击操作选项卡。并创建一个指向 refreshToken.bat 的新操作。

9. 保存

Answer 2

@Amit 发布的每 12 小时自动刷新令牌的解决方案是解决问题的一种方法，但我们已经确定了其他人建议的方法，即使用逻辑“错误登录”。

一组简单的命令为我们完成了这项工作：

docker push <aws_account_id>.dkr.ecr.<region>.amazonaws.com/<repository_name>:<version>

RESULT=$?

if [[ $RESULT == 0 ]]
then
  echo "Docker image pushed successfully using existing ECR authentication token"
  exit 0
else
  echo "Existing ECR authentication token not valid, fetching a new token"
  aws ecr get-login-password --region <region> | docker login --username AWS --password-stdin <aws_account_id>.dkr.ecr.<region>.amazonaws.com
  docker push <aws_account_id>.dkr.ecr.<region>.amazonaws.com/<repository_name>:<version>
fi

简单且随需应变。只要不需要，就不需要获取令牌。这也使我们无需在工作流中的所有构建代理上维护 cron 表达式。