amazon-web-services - Lambda 无权访问 ECR 镜像

Question

随着最近发布的用于 Lambda 函数的 Docker 镜像，我决定使用 CloudFormation 尝试此功能。

因此，下面的 lambda 考虑存储在 Elastic Container Registry 中的 docker 镜像，并具有按照 documentation 中的示例访问该镜像的权限。 .

AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Description: lambda-docker-image

Globals:
  Function:
    Timeout: 180

Resources:
  DockerAsImage:
    Type: AWS::Serverless::Function 
    Properties:
      FunctionName: DockerAsImage
      ImageUri: ??????????????.dkr.ecr.us-west-2.amazonaws.com/????:latest
      PackageType: Image
      Policies: 
        - Version: '2012-10-17' 
          Statement:
            - Effect: Allow
              Action: 
                - ecr:*
                - ecr-public:*
                - sts:GetServiceBearerToken
              Resource: "*"
      Events:
        HelloWorld:
          Type: Api
          Properties:
            Path: /hello
            Method: post

我正在使用 sam 在 us-west-2 中部署模板

sam deploy -t template.yaml --capabilities "CAPABILITY_NAMED_IAM" --region "us-west-2" --stack-name "lambda-docker-example" --s3-bucket "my-bucket" --s3-prefix "sam_templates/lambda-docker-example" --force-upload  --no-confirm-changeset

但是，在成功创建 IAM 角色后，Lambda 函数创建失败，并出现以下错误

Lambda does not have permission to access the ECR image. Check the ECR permissions. (Service: AWSLambdaInternal; Status Code: 403; Error Code: AccessDeniedException;

即使该角色有权访问任何 ecs 资源。我尝试过的另一种方法是创建一个单独的角色并通过 Role: !GetAtt Role.Arn 将其分配给 lambda，这种方法也不起作用。

Answer 1

基于评论。

要使用基于图像的 lambda，需要 ECR 权限的是 IAM 用户/角色，而不是函数本身。来自 docs :

Make sure that the permissions for the AWS Identity and Access Management (IAM) user or role that creates the function contain the AWS managed policies GetRepositoryPolicy and SetRepositoryPolicy.

除了上面列出的两个权限外，还需要ecr: InitiateLayerUpload。