AWS ECR 获取授权令牌

Question

我已尝试按照 AWS 说明为我的用户设置 ECR 授权，向我的用户提供 AmazonEC2ContainerRegistryFullAccess 策略。

但是，当我尝试在我的 PC 上运行 aws ecr get-login 时，我收到一个我没有权限的错误。

An error occurred (AccessDeniedException) when calling the GetAuthorizationToken operation: User: arn:aws:iam::ACCOUNT_NUMBER:user/MY_USER is not authorized to perform: ecr:GetAuthorizationToken on resource: *

我做错了什么？

Answer 1

您必须将策略附加到您的 IAM 角色。

我附加了 AmazonEC2ContainerRegistryFullAccess 并且它有效。

Answer 2

这是一个完整的答案，在我完成所有步骤之后 - 我能够使用 ECR

错误可能有两种含义：

1) 您未获得授权，因为您没有为您的用户附加 ECR 政策

2) 您未获得授权，因为您使用的是 2FA，并且使用 cli 不安全，除非您设置临时会话令牌

这里是获取访问权限的所有步骤列表（包括处理 2FA）

1. 首先，您必须创建一个允许您访问 ECR 中的 GetAuthorizationToken 操作的策略。
2. 将此策略附加到用户或组（组/角色总是恕我直言更好的方法，我对角色的投票，例如 DevOps）
3. 确保在您的环境中设置了 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。我建议使用分离凭据和配置文件的 aws 文件夹。

如果您启用了 2FA

4. 您需要使用此命令生成会话令牌 aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token。 arn-of-the-mfa-device 可以在您的个人资料中找到，2FA 部分。 Token，是设备生成的token。
5. 使用收到的 AccessKeyId、SecretAccessKey 和 SessionToken 更新 aws 凭据。 AWS 建议使用任一 cron 作业来刷新令牌，这意味着如果您这样做是在测试东西，您的 prod 资源很可能没有启用 2FA。您可以通过提供--duration-seconds 来增加会话，但最多只能增加 36 小时。一个很好的解释可以在authenticate-mfa-cli找到

这应该可以完成工作

Answer 3

正如错误描述中显示的那样，我必须在我的策略中允许操作“GetAuthorizationToken”。

    {
        "Sid": "VisualEditor2",
        "Effect": "Allow",
        "Action": "ecr:GetAuthorizationToken",
        "Resource": "*"
    }

注意：这不是我的完整政策，而是声明的一个小节。

Answer 4

我最终使用了 AmazonEC2ContainerRegistryPowerUser，这似乎比完全访问权限更好。以下是我在 2019 年 6 月发现的政策：

Answer 5

我发现当启用 2FA 时，没有使用 aws ecr get-login 的选项，一旦我从我的帐户中删除了 2FA，我就获得了授权令牌

Answer 6

当我尝试将容器推送到存储库中时，我遇到了与 ECS 相同的问题。

为了解决这个问题，我将这个附加到我的 IAM 角色：AmazonECS_FullAccess

Answer 7

对我来说：

              - Effect: Allow
                Sid: VisualEditor2
                Action:
                  - ecr:GetAuthorizationToken
                  - ecr:BatchGetImage
                  - ecr:GetDownloadUrlForLayer
                Resource: "*"

Answer 8

我有同样的问题，但我之前只将permission boundary 设置为 s3，这会导致问题。

删除了permission boundary，它就像一个魅力

Answer 9

这是我的人EC2InstanceProfileForImageBuilderECRContainerBuilds

Answer 10

用户必须拥有 ECR 上所有资源的 GetAuthorizationToken。为了使策略更严格，您可以仅将所有操作授予所需的注册表，并且仅将 ecr:GetAuthorizationToken 授予所有资源。这是附加到您的用户的示例策略：

            {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Action": [
                            "ecr:BatchCheckLayerAvailability",
                            "ecr:BatchGetImage",
                            "ecr:CompleteLayerUpload",
                            "ecr:GetDownloadUrlForLayer",
                            "ecr:InitiateLayerUpload",
                            "ecr:PutImage",
                            "ecr:UploadLayerPart"
                        ],
                        "Effect": "Allow",
                        "Resource": "<REPOSITORY_ARN_HERE>"
                    },
                    {
                        "Action": [
                            "ecr:GetAuthorizationToken",
                        ],
                        "Effect": "Allow",
                        "Resource": "*"
                    }

                ]
            }