本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Amazon ECR 映像与 Amazon EKS 结合使用
您可以将 Amazon ECR 映像与 Amazon EKS 结合使用。
从 Amazon ECR 中引用映像时,您必须为映像使用完整的 registry/repository:tag
命名。例如,aws_account_id
.dkr.ecr.region
.amazonaws.com/
。my-repository
:latest
所需的 IAM 权限
如果您将 Amazon EKS 工作负载托管在托管节点、自行管理节点或 Amazon Fargate 上,则请查看以下内容:
-
在托管式节点或自行管理的节点上托管的 Amazon EKS 工作负载:必须提供 Amazon EKS Worker 节点 IAM 角色(
NodeInstanceRole
)。Amazon EKS Worker 节点 IAM 角色必须包含以下适用于 Amazon ECR 的 IAM policy 权限。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
注意
如果您使用 Amazon EKS 入门中的
eksctl
或 Amazon CloudFormation 模板创建集群和工作节点组,则预设情况下,这些 IAM 权限将应用于您的工作节点 IAM 角色。 -
在 Amazon Fargate 上托管的 Amazon EKS 工作负载:使用 Fargate 容器组(Pod)执行角色,该角色为您的容器组(Pod)提供了从私有 Amazon ECR 存储库中提取映像的权限。有关更多信息,请参阅创建 Fargate Pod 执行角色。