如何在 AWS ECR 中使用 ASSUME_ROLE 推送到账户
How to Push to Account Using ASSUME_ROLE in AWS ECR
我错过了什么?无论我尝试什么语法,推送到 AWS ECR 总是落在主/管理 AWS 账户中。在 AWS 控制台中,我可以使用适当的角色切换到该帐户。使用 Terraform 我可以设置 assume_role.role_arn 属性 以在正确的帐户中创建资源。但是,Docker 和 AWS CLI 似乎都没有配置或语法。我显然漏掉了一个步骤,属性,或全局选项。
如果我走 Terraform 路线,我可以做任何我需要的事情。所以,我知道它 应该 工作...
provider "aws" {
region = "us-gov-west-1"
shared_credentials_file = "~/.aws/credentials"
profile = "govcloud"
assume_role {
role_arn = "arn:aws-us-gov:iam::123456789012:role/Build_Administrator"
}
}
但是,我宁愿不使用 Terraform 来完成像推送到 ECR 这样简单的任务。
我试过在 ~/.aws/config 中使用 role_arn 属性 并且 那 不起作用...
[govcloud]
region = us-gov-west-1
output = json
[govcloud-assume]
region = us-gov-west-1
output = json
role_arn=arn:aws-us-gov:iam::123456789012:role/Build_Administrator
在任何其他情况下,调用 get-login-password / create-repository 将利用当前配置的密钥并操纵配置的帐户...
aws ecr get-login-password | docker login --username AWS --password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository --repository-name "complexapi" --image-tag-mutability MUTABLE
感觉好像应该有某种类型的全局选项来设置目标帐户或role_arn,但是没有任何组合有效...
aws ecr get-login-password --profile govcloud-assume --region us-gov-west-1 | docker login --username AWS --password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository --profile govcloud-assume --region us-gov-west-1 --repository-name "complexapi" --image-tag-mutability MUTABLE
更新 1:
感觉我越来越近了。设置访问密钥后,我可以成功调用 aws sts assume-role 和 return 一个 Credentials 对象。只是还不知道如何处理它。
更新二:
STS 是浪费时间,让我走错了路。不要去那里。它不是必需的,会污染 AWS CLI 的本地身份验证环境。
要使用带 ECR 的 AWS CLI 担任角色,您必须在脚本中使用 --profile 属性 并使用 two[= 构建 ~/.aws/config 39=] 属性一起:role_arn 和 source_profile
~/.aws/config 需要 主帐户和 sub-account 您希望合作的帐户。此 sub-account 包含您希望承担的角色,ARN 在其 role_arn 属性 中维护。 sub-account 的配置文件是您将在脚本中引用的内容,但是配置还必须指向 source_profile,它将维护实际凭据:
[default]
region = us-gov-west-1
output = json
[profile gov-mgmt]
region = us-west-1
output = json
[profile gov-staging]
role_arn = arn:aws-us-gov:iam::123456789123:role/BuildBoxRole
source_profile = gov-mgmt
region = us-gov-west-1
您的 ~/.aws/credentials 文件包含主帐户的密钥:
[gov-mgmt]
aws_access_key_id = ABCDEFGHIJKLMNOPQRST
aws_secret_access_key = abcdefghijklmnopqrstuvwxyz1234567890ab12
一旦到位,您的命令将引用包含您希望承担的角色(目标帐户)的配置文件,并且在需要时,您可以使用该帐户 ID。在 get-login-password 命令的示例中,使用 sub-account 的名称向 AWC CLI 传递 --profile 属性。 Docker 将从 AWS CLI 接收生成的密码并直接按编号引用 sub-account。
例如,以下是在 sub-account 中创建 AWS ECR 存储库的命令(请注意同时使用了 sub-account ID 以及该帐户配置文件的名称):
aws ecr get-login-password --profile gov-staging | docker login \
--username AWS \
--password-stdin 123456789123.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository \
--profile gov-staging \
--repository-name "complexapi" \
--image-tag-mutability MUTABLE
... 以及使用 latest 标签和正确的版本号将图像推送到 sub-account 注册表所需的命令:
docker tag fredlackey/complexapi:0.0.0 \
123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:0.0.0
docker tag fredlackey/complexapi:0.0.0 \
123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:latest
aws ecr get-login-password \
--profile gov-staging | docker login \
--username AWS \
--password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
docker push 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:0.0.0
docker push 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:latest
我错过了什么?无论我尝试什么语法,推送到 AWS ECR 总是落在主/管理 AWS 账户中。在 AWS 控制台中,我可以使用适当的角色切换到该帐户。使用 Terraform 我可以设置 assume_role.role_arn 属性 以在正确的帐户中创建资源。但是,Docker 和 AWS CLI 似乎都没有配置或语法。我显然漏掉了一个步骤,属性,或全局选项。
如果我走 Terraform 路线,我可以做任何我需要的事情。所以,我知道它 应该 工作...
provider "aws" {
region = "us-gov-west-1"
shared_credentials_file = "~/.aws/credentials"
profile = "govcloud"
assume_role {
role_arn = "arn:aws-us-gov:iam::123456789012:role/Build_Administrator"
}
}
但是,我宁愿不使用 Terraform 来完成像推送到 ECR 这样简单的任务。
我试过在 ~/.aws/config 中使用 role_arn 属性 并且 那 不起作用...
[govcloud]
region = us-gov-west-1
output = json
[govcloud-assume]
region = us-gov-west-1
output = json
role_arn=arn:aws-us-gov:iam::123456789012:role/Build_Administrator
在任何其他情况下,调用 get-login-password / create-repository 将利用当前配置的密钥并操纵配置的帐户...
aws ecr get-login-password | docker login --username AWS --password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository --repository-name "complexapi" --image-tag-mutability MUTABLE
感觉好像应该有某种类型的全局选项来设置目标帐户或role_arn,但是没有任何组合有效...
aws ecr get-login-password --profile govcloud-assume --region us-gov-west-1 | docker login --username AWS --password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository --profile govcloud-assume --region us-gov-west-1 --repository-name "complexapi" --image-tag-mutability MUTABLE
更新 1:
感觉我越来越近了。设置访问密钥后,我可以成功调用 aws sts assume-role 和 return 一个 Credentials 对象。只是还不知道如何处理它。
更新二:
STS 是浪费时间,让我走错了路。不要去那里。它不是必需的,会污染 AWS CLI 的本地身份验证环境。
要使用带 ECR 的 AWS CLI 担任角色,您必须在脚本中使用 --profile 属性 并使用 two[= 构建 ~/.aws/config 39=] 属性一起:role_arn 和 source_profile
~/.aws/config 需要 主帐户和 sub-account 您希望合作的帐户。此 sub-account 包含您希望承担的角色,ARN 在其 role_arn 属性 中维护。 sub-account 的配置文件是您将在脚本中引用的内容,但是配置还必须指向 source_profile,它将维护实际凭据:
[default]
region = us-gov-west-1
output = json
[profile gov-mgmt]
region = us-west-1
output = json
[profile gov-staging]
role_arn = arn:aws-us-gov:iam::123456789123:role/BuildBoxRole
source_profile = gov-mgmt
region = us-gov-west-1
您的 ~/.aws/credentials 文件包含主帐户的密钥:
[gov-mgmt]
aws_access_key_id = ABCDEFGHIJKLMNOPQRST
aws_secret_access_key = abcdefghijklmnopqrstuvwxyz1234567890ab12
一旦到位,您的命令将引用包含您希望承担的角色(目标帐户)的配置文件,并且在需要时,您可以使用该帐户 ID。在 get-login-password 命令的示例中,使用 sub-account 的名称向 AWC CLI 传递 --profile 属性。 Docker 将从 AWS CLI 接收生成的密码并直接按编号引用 sub-account。
例如,以下是在 sub-account 中创建 AWS ECR 存储库的命令(请注意同时使用了 sub-account ID 以及该帐户配置文件的名称):
aws ecr get-login-password --profile gov-staging | docker login \
--username AWS \
--password-stdin 123456789123.dkr.ecr.us-gov-west-1.amazonaws.com
aws ecr create-repository \
--profile gov-staging \
--repository-name "complexapi" \
--image-tag-mutability MUTABLE
... 以及使用 latest 标签和正确的版本号将图像推送到 sub-account 注册表所需的命令:
docker tag fredlackey/complexapi:0.0.0 \
123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:0.0.0
docker tag fredlackey/complexapi:0.0.0 \
123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:latest
aws ecr get-login-password \
--profile gov-staging | docker login \
--username AWS \
--password-stdin 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com
docker push 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:0.0.0
docker push 123456789012.dkr.ecr.us-gov-west-1.amazonaws.com/complexapi:latest