- ECRはリソースベースポリシーが設定できる
- エンドポイントはcom.amazonaws.ap-northeast-1.ecr.dkrを作ればいい
- エンドポイントはEC2インスタンスから443でアクセスできればいい
- うまく設定できれば、インターネットからは接続できずに、指定したEC2インスタンスからのみしか接続できなくなる
- エンドポイントを作成して、セキュリティグループは443でEC2が配置されているサブネットを指定
ECR-Permissionに書く
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "Deny-other-than-endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CompleteLayerUpload",
"ecr:GetDownloadUrlForLayer",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "<VPCエンドポイントID>"
}
}
}
]
}