- ECRはリソースベースポリシーが設定できる
- エンドポイントはcom.amazonaws.ap-northeast-1.ecr.dkrを作ればいい
- エンドポイントはEC2インスタンスから443でアクセスできればいい
- うまく設定できれば、インターネットからは接続できずに、指定したEC2インスタンスからのみしか接続できなくなる
- エンドポイントを作成して、セキュリティグループは443でEC2が配置されているサブネットを指定
ECR-Permissionに書く
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
{ "Version": "2008-10-17", "Statement": [ { "Sid": "Deny-other-than-endpoint", "Effect": "Deny", "Principal": "*", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CompleteLayerUpload", "ecr:GetDownloadUrlForLayer", "ecr:InitiateLayerUpload", "ecr:PutImage", "ecr:UploadLayerPart" ], "Condition": { "StringNotEquals": { "aws:sourceVpce": "<VPCエンドポイントID>" } } } ] } |