특정 IAM Role이 ECR에서 이미지를 가져오지 못하게 막는 정책
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
},
"Action": "ecr:*"
}
]
}
JSON
복사
특정 IAM Role만 Condition으로 허용하고 나머지는 차단하는 정책
{
"Version": "2012-10-17"
"Statement": [
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
}
},
"Action": [
"ecr:*"
],
"Principal": "*",
"Effect": "Deny"
}
]
}
Shell
복사
실습
특정 IAM Role이 ECR에서 이미지를 가져오지 못하게 막는 정책 적용 후 진행
docker pull 362708816803.dkr.ecr.ap-northeast-2.amazonaws.com/app:latest
Shell
복사
•
pull에 실패하는 모습 확인 가능
특정 IAM Role만 Condition으로 Push 허용하는 정책 적용 후 진행
docker push 362708816803.dkr.ecr.ap-northeast-2.amazonaws.com/app:latest
Shell
복사
•
push에 실패하는 모습 확인 가능
•
정책 변경 후 push에 성공하는 모습 확인 가능
