В учетной записи, в которой запущена служба fargate, роль выполнения задачи, указанная в определении задачи, должна иметь разрешения для извлечения образа.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:eu-west-1:<account id>:repository/project",
"Effect": "Allow"
},
{
"Action": "ecr:GetAuthorizationToken",
"Resource": "*",
"Effect": "Allow"
}
]}
А в учетной записи, содержащей ECR, вы должны указать в политике ecr, что учетная запись, содержащая роль выполнения задачи, имеет доступ к хранилищу. В политике ecr ниже добавлена вся учетная запись, что может быть немного безопаснее, но это то, что вы можете затянуть.
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "PullImage",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<accountid>:root"
},
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages",
"ecr:DescribeRepositories",
"ecr:GetDownloadUrlForLayer",
"ecr:GetLifecyclePolicy",
"ecr:GetLifecyclePolicyPreview",
"ecr:GetRepositoryPolicy",
"ecr:ListImages"
]
}
]
}