■ はじめに

久しぶりに、ECRネタ。

アカウントA（Account ID: 111111111111）から、
アカウントB（Account ID: 999999999999）のECRリポジトリに対して
Docker Pull/Pushすることを考える

【０】何を行う必要があるか？
　１）公式サイトより
【１】呼び出し側のAWS環境設定 - IAMロール設定
【２】ECR側のAWS環境設定 - ECRリポジトリポリシー設定
　１）GUIでの設定手順
　２）AWS CLIによる方法
　３）トラブルシュート・エラー
　４）補足：設定しないでPushした場合のエラーメッセージ
【３】動作確認
【４】補足：別アカウントになった際の影響
　１）AWS CLIを使用している場合
　２）ECRのイメージスキャン（Inspector2）について

【０】何を行う必要があるか？

１）公式サイトより

https://repost.aws/ja/knowledge-center/secondary-account-access-ecr

より抜粋
~~~~~~
Amazon Elastic Container Registry (Amazon ECR) イメージリポジトリ内
のイメージをセカンダリアカウントでプッシュまたはプルできるようにしたい
と考えています。

解決策
別のアカウントの Amazon ECR リポジトリに
イメージをプッシュまたはプルできます。

まず、セカンダリアカウントがリポジトリに対して
API 呼び出しを実行できるようにするポリシーを作成する必要があります。
↑【２】参照

次に、セカンダリアカウントから生成された Docker 認証トークンを使用して、
プライマリアカウントのリポジトリに対して
プッシュコマンドとプルコマンドを使用します。
↑【３】参照
~~~~~~
# っと言っているが、呼び出し側の設定（【１】）も確認する必要があると思う

【１】呼び出し側のAWS環境設定 - IAMロール設定

* IAMロールが、別アカウントのECR に使用権限が付与されているか確認する
 => 今回は、簡易的に
　「arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPowerUser」を使用

【２】ECR側のAWS環境設定 - ECRリポジトリポリシー設定

* ECRリポジトリ側の権限設定を以下「リポジトリポリシー例」を参考に行う

１）GUIでの設定手順

* GUIでの設定手順は以下の通り。

手順

[1] AWSマネージメントコンソールへログイン
[2] Amazon ECR のページに移行
[3] [Repositories]を選択し、リポジトリ一覧から対象のリポジトリにチェックを付け
　（今回は「your-repo」としておく）、[Actions]-[Permissions]を選択
[4] 右上にある[Edit policy JSON]ボタン押下
[5] 以下「リポジトリポリシー例」を参考に、リポジトリポリシーを入力
[6] 「Save」ボタン押下
 => ただ、実行権限によっては、
　　以下『Save」ボタン押下後のエラーメッセージ』が表示される可能性あり

リポジトリポリシー例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPushPull",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111111111111:role/your-iam-role"
      },
      "Action": [
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage",
        "ecr:BatchCheckLayerAvailability",
        "ecr:PutImage",
        "ecr:InitiateLayerUpload",
        "ecr:UploadLayerPart",
        "ecr:CompleteLayerUpload"
      ]
    }
  ]
}

２）AWS CLIによる方法

# Step1: 上記「リポジトリポリシー例」を例えば「repo-policy.json」で保存する

# Step2: 以下のコマンドを実行
aws ecr set-repository-policy --region us-west-2 \
 --repository-name your-repo --policy-text repo-policy.json

３）トラブルシュート・エラー

* 実行したら、以下「エラーメッセージ例」が表示される場合があった
 => その際、IAMロールなどを確認し、適切に修正したら直った

エラーメッセージ例

Error
Invalid parameter at 'Policy Text' failed to satisfy constraint:
 'Invalid repository policy provided'

４）補足：設定しないでPushした場合のエラーメッセージ

* 本設定を行っていなかった状態で、docker push を試みた場合、
　以下「エラーメッセージ例」が表示される

エラーメッセージ例

denied: arn:aws:sts::[account_ID(111111111111)]:assumed-role/your-role/i-xxxxxx
 is not authorized to perform: ecr:InitiateLayerUpload
 on resource: arn:aws:ecr:us-west-2:[account_ID(999999999999)]:repository/your-repo
 because no identity-based policy allows the ecr:InitiateLayerUpload action

【３】動作確認

* アカウントA（111111111111）側のAWS環境で、以下「コマンド例」を参考に動作確認を行う

コマンド例

# ログイン
aws ecr get-login-password --region us-west-2 | docker login --username AWS --password-stdin 999999999999.dkr.ecr.us-west-2.amazonaws.com

# Push/Pull
docker push 999999999999.dkr.ecr.us-west-2.amazonaws.com/your-repo:latest
docker pull 999999999999.dkr.ecr.us-west-2.amazonaws.com/your-repo:latest

【４】補足：別アカウントになった際の影響

１）AWS CLIを使用している場合

CI/CDなどで、AWS CLIを使用している場合に
引数として「--registry-id <ACCCOUNT_ID_FOR_ECR>」を使用するといい
 => なお、Amazon ECRに関するAWS CLI については、以下の関連記事を参照のこと

https://dk521123.hatenablog.com/entry/2024/01/05/000000
例

aws ecr list-images \
  --region us-west-2 \
  --registry-id 999999999999
  --repository-name sample-repo

２）ECRのイメージスキャン（Inspector2）について

ECRリポジトリにInspector2による自動スキャン設定をしている場合
スキャン実行自体は可能。
ただし、スキャン結果をモニタリングする場合に別設定が必要。
 => 詳細は、以下の関連記事を参照のこと

Amazon ECR ～別アカウントからInspector2を操作するには～
https://dk521123.hatenablog.com/entry/2024/05/16/212100

参考文献

https://qiita.com/winebarrel/items/bbfe4bf06039f7831af3
その他: CloudFormation
https://zenn.dev/part_of_mitsuo/articles/20220723-cloudformation05

プログラムの超個人的なメモ

Memo for Programming.

【AWS】Amazon ECR ～別アカウントのECRにPull/Push ～

■ はじめに

目次

【０】何を行う必要があるか？

１）公式サイトより

【１】呼び出し側のAWS環境設定 - IAMロール設定

【２】ECR側のAWS環境設定 - ECRリポジトリポリシー設定

１）GUIでの設定手順

２）AWS CLIによる方法

３）トラブルシュート・エラー

４）補足：設定しないでPushした場合のエラーメッセージ

【３】動作確認

【４】補足：別アカウントになった際の影響

１）AWS CLIを使用している場合

２）ECRのイメージスキャン（Inspector2）について

参考文献

関連記事