株式会社ヴァンデミックシステム

Blog

【AWS】EC2インスタンスからECRをエンドポイント経由でのみ接続を許可する

Posted by:
yuta

<スポンサーリンク>

  • ECRはリソースベースポリシーが設定できる
  • エンドポイントはcom.amazonaws.ap-northeast-1.ecr.dkrを作ればいい
  • エンドポイントはEC2インスタンスから443でアクセスできればいい
  • うまく設定できれば、インターネットからは接続できずに、指定したEC2インスタンスからのみしか接続できなくなる
  • エンドポイントを作成して、セキュリティグループは443でEC2が配置されているサブネットを指定

    ECR-Permissionに書く

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Deny-other-than-endpoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CompleteLayerUpload",
        "ecr:GetDownloadUrlForLayer",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:sourceVpce": "<VPCエンドポイントID>"
        }
      }
    }
  ]
}

<スポンサーリンク>

コメントを残す

Allowed tags:  you may use these HTML tags and attributes: <a href="">, <strong>, <em>, <h1>, <h2>, <h3>
Please note:  all comments go through moderation.
CAPTCHA

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)