将 Amazon ECR 映像与 Amazon EKS 结合使用 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon ECR 映像与 Amazon EKS 结合使用

您可以将 Amazon ECR 映像与 Amazon EKS 结合使用。

从 Amazon ECR 中引用映像时,您必须为映像使用完整的 registry/repository:tag 命名。例如,aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest

所需的 IAM 权限

如果您将 Amazon EKS 工作负载托管在托管节点、自行管理节点或 Amazon Fargate 上,则请查看以下内容:

  • 在托管式节点或自行管理的节点上托管的 Amazon EKS 工作负载:必须提供 Amazon EKS Worker 节点 IAM 角色(NodeInstanceRole)。Amazon EKS Worker 节点 IAM 角色必须包含以下适用于 Amazon ECR 的 IAM policy 权限。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
    注意

    如果您使用 Amazon EKS 入门中的 eksctl 或 Amazon CloudFormation 模板创建集群和工作节点组,则预设情况下,这些 IAM 权限将应用于您的工作节点 IAM 角色。

  • 在 Amazon Fargate 上托管的 Amazon EKS 工作负载:使用 Fargate 容器组(Pod)执行角色,该角色为您的容器组(Pod)提供了从私有 Amazon ECR 存储库中提取映像的权限。有关更多信息,请参阅创建 Fargate Pod 执行角色。