Назад | Перейти на главную страницу

Документ политики ECR IAM для доступа к узлу EKS

Как правильно управлять доступом узла EKS к ECR через документы политики IAM, если я хочу ограничить круг лиц, которые могут запускать задания с использованием разных образов?

В упрощенном примере у меня есть пользователи A и B и репозитории ECR C и D. Пользователь A имеет доступ к обоим репозиториям, а пользователь B должен иметь доступ только к C. Я хочу, чтобы оба пользователя могли использовать один и тот же кластер EKS (и тот же набор узлов), и A должен иметь возможность запускать задания в EKS с использованием изображений из C или D, в то время как B должен иметь возможность запускать только задания с использованием изображений из C, но не D.

В моей текущей настройке все узлы EC2 в кластере EKS используют общую роль IAM, к которой прикреплен AmazonEC2ContainerRegistryReadOnly, чтобы он мог читать из всех репозиториев ECR. Репозиторий C предоставляет пользователю A и роли узла EC2 доступ для чтения, а репозиторий D предоставляет пользователям A и B, а также доступ на чтение для роли узла EC2. Однако это означает, что и пользователь A, и пользователь B могут запускать задания, которые читаются из репозитория C или D, что не то, что я хочу (пользователь B не должен иметь возможность запускать чтение заданий из репозитория D).

Я понимаю, что одной из возможностей было бы разделить набор узлов и назначить им разные профили экземпляров EC2 IAM и настроить документы политики ECR IAM так, чтобы первый набор узлов имел доступ к репозиториям C и D, а второй набор узлов только имеет доступ к C, но есть ли альтернатива этому, позволяющая избежать необходимости настраивать набор узлов для каждого уникального набора разрешений пользователя?