我有以下内容Dockerrun.aws.json:
{
"AWSEBDockerrunVersion": "1",
"Authentication": {
"Bucket": "bucket-of-another-aws-account",
"Key": "docker/.dockercfg"
},
"Image": {
"Name": "docker-image"
},
"Ports": [
{
"ContainerPort": "8080"
}
]
}
带有我们的 Docker 容器的 Elastic Beanstalk 环境正在客户的 AWS 账户中运行,并且带有的 S3 存储桶.dockercfg属于我们的 AWS 账户。
为了测试目的,我将存储桶策略原则设置*为任何人都可以下载该.dockercfg文件。然而,Elastic Beanstalk 无法下载该文件(“ Failed to download authentication credentials docker/.dockercfg from bucket-of-another-aws-account”)。
下一个测试是将文件移动到客户 AWS 账户内的 S3 存储桶。成功了。
问题是:是否可以使用另一个帐户的存储桶Dockerrun.aws.json?我在文档中找不到任何提示,而且我不想将 DockerHub API 密钥提供给我们的客户。
答案1
我们设法克服了“无法下载身份验证凭据”的问题,如下所示:
1)在帐户 B(尝试访问远程存储桶的帐户)中,在 Elastic Beanstalk 环境的设置中查找其正在使用的实例角色名称(配置、实例(cog)、实例配置文件)
2)仍然在帐户 B 中,在 IAM 管理器中,转到角色并找到上一步中 EB 用于实例的 ec2 角色,然后附加内联策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BucketAccess",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket-of-another-aws-account"
]
},
{
"Sid": "S3ObjectAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::bucket-of-another-aws-account/*"
]
}
]
}
3)在帐户 A 中的目标 s3 存储桶上附加一个策略(其中 222222222222 是帐户 B 的账号)
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AccountBAccess1",
"Effect": "Allow",
"Principal": {
"AWS": "222222222222"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::bucket-of-another-aws-account",
"arn:aws:s3:::bucket-of-another-aws-account/*"
]
}
}
我知道这是对原帖的迟来的回答(让我想起了https://xkcd.com/979/) 但我在网上的文档中也没有找到任何简洁或明确的答案,而且随着越来越多的人转向 AWS 和 Elastic Beanstalk,我希望这对其他人有用!