Щоб розшарити ECR репозиторій (тільки на читання – лише завантажити) для всієї організації:

{
 "Version": "2008-10-17",
 "Statement": [
  {
   "Sid": "Organization ReadOnly access",
   "Effect": "Allow",
   "Principal": "*",
   "Action": [
    "ecr:BatchCheckLayerAvailability",
    "ecr:BatchGetImage",
    "ecr:GetDownloadUrlForLayer"
   ],
   "Condition": {
    "StringEquals": {
     "aws:PrincipalOrgID": "o-tb2dsr832"
    }
   }
  }
 ]
}

(Потрібно замінити aws:PrincipalOrgID на свій)

Дані правила (download only) застосовуються для інших акаунтів, а для AWS аккаунта, де знаходиться ECR – управляється за допомогою IAM політик, якими можна поставити потрібні права (в тому числі на upload).

#ECR

Тепер публічні докер-образи доступні через AWS ECR Public:

https://www.docker.com/blog/news-from-aws-reinvent-docker-official-images-on-amazon-ecr-public/

Це результат появи кешування для публічних ECR:

https://aws.amazon.com/blogs/aws/announcing-pull-through-cache-repositories-for-amazon-elastic-container-registry/

Для того, щоб образи бралися не із зовнішнього джерела, а з ECR (що дозволяє уникнути витрат на трафік), достатньо додати префікс public.ecr.aws/docker/library/ у команду або Dockerfile:

docker pull ubuntu:16.04
⬇️
docker pull public.ecr.aws/docker/library/ubuntu:16.04

Нові теги автоматично синхронізуються із зовнішнім реєстром, тому такий підхід дає можливість повністю позбутися обмежень і залежності від якості роботи зовнішніх/публічних реєстрів.

#ECR