Я отчаянно искал документацию, примеры и сообщения, которые намекают на способ ограничить определенные политики определенными тегами изображений Docker, но не смог найти ни одного примера или даже запроса, в котором кто-то другой пытался сделать то же самое. . К сожалению, в результатах поиска отображается так много документации по тегам типа метаданных AWS (неправильный тип тега).
Я наивно пытался установить тег в значение ресурса, но без проблем смог получить к нему доступ от тестового пользователя.Конечно, я мог также непреднамеренно добавить неправильный тип доступа, но тогда мне было трудно определить, какие разрешения обычно отвечают за разрешение извлечения докеров, а какие разрешения конкретно связаны с извлечением тегов (если таковые имеются).
Моя попытка заключалась в подключении как управляемой политики AmazonEC2ContainerRegistryReadOnly, так и второй политики, которая имела следующее:
{
«Версия»: «2012-10-17»,
"Заявление": [
{
"Сид": "VisualEditor0",
«Эффект»: «Разрешить»,
"Действие": [
"ecr:DescribeImageScanFindings",
"ecr: Жетлайфциклполиципревиев",
"ecr:GetDownloadUrlForLayer",
"ЭКР: Батчжетизображение",
"ecr:ОписатьИзображения",
"ecr: Батччекклайердоступность",
"ecr:GetRepositoryPolicy",
"ecr:Жетлайфциклполици"
],
«Ресурс»: «arn:aws:ecr:us-east-1:326764833890:repository/*:development-latest»
},
{
"Сид": "Визуальный редактор1",
«Эффект»: «Разрешить»,
"Действие": [
"ecr: GetRegistryPolicy",
"ecr:ОписатьРеестр",
"ecr: GetAuthorizationToken"
],
"Ресурс": "*"
}
]
}
Поддерживается ли ограничение определенными тегами Docker-image? Я пропустил что-то еще, выше?
Спасибо.
