Am căutat cu disperare documentație, exemple și postări care sugerează o modalitate de a restricționa anumite politici la anumite etichete de imagine Docker, dar nu am reușit să găsesc un singur exemplu sau chiar o solicitare în care altcineva a încercat să facă același lucru . De asemenea, este regretabil că atât de multă documentație pentru etichetele de tip metadate AWS (Tipul greșit de etichetă) apare în rezultatul căutării.
Am încercat naiv să setez eticheta în valoarea resursei, dar am reușit să o accesez de la un utilizator de testare fără probleme.Desigur, s-ar putea să fi adăugat din greșeală și un tip de acces greșit, dar apoi mi-a fost dificil să stabilesc care permisiuni erau în general responsabile pentru a permite docker-pulls și ce permisiuni legate în mod specific de tragerea de etichete (dacă există).
Încercarea mea a implicat atașarea atât a politicii gestionate „AmazonEC2ContainerRegistryReadOnly”, cât și a uneia doua politici care avea următoarele:
{
„Versiune”: „2012-10-17”,
"Afirmație": [
{
„Sid”: „VisualEditor0”,
„Efect”: „Permite”,
"Acțiune": [
„ecr:DescribeImageScanFindings”,
„ecr:GetLifecyclePolicyPreview”,
„ecr:GetDownloadUrlForLayer”,
„ecr:BatchGetImage”,
„ecr:DescribeImages”,
„ecr:BatchCheckLayerAvailability”,
„ecr:GetRepositoryPolicy”,
„ecr:GetLifecyclePolicy”
],
„Resurse”: „arn:aws:ecr:us-east-1:326764833890:repository/*:development-latest”
},
{
„Sid”: „VisualEditor1”,
„Efect”: „Permite”,
"Acțiune": [
„ecr:GetRegistryPolicy”,
„ecr:DescribeRegistry”,
„ecr:GetAuthorizationToken”
],
„Resurse”: „*”
}
]
}
Este acceptată restricția la anumite etichete Docker-image? Îmi scapă altceva, mai sus?
Mulțumesc.
