问AWS ECR GetAuthorizationToken

EN

我发现当启用2FA时，就没有选择使用aws ecr get-登录，一旦我从我的帐户中删除了2FA，我就得到了授权令牌。

您必须将策略附加到您的IAM角色。

我附上了AmazonEC2ContainerRegistryFullAccess，它起了作用。

下面是一个完整的答案，在我完成所有步骤之后-我能够使用ECR。

这个错误可能有几个意思：

1. 您没有被授权，因为您没有将ECR策略附加到您的用户。
2. 您没有被授权，因为您使用的是2FA，除非您设置了临时会话令牌，否则使用cli是不安全的。
3. 您提供了无效凭据。

下面是--获取访问的所有步骤的列表(包括处理2FA)

1. 首先，您必须创建，该策略允许您访问ECR中的GetAuthorizationToken操作。
2. 将此策略附加到用户或组(组/角色总是更好的方法，我对角色的投票，例如DevOps)
3. 确保在您的环境中设置了AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY。我建议使用将凭据和配置文件分隔开的aws文件夹。

如果启用了2FA，则为

1. 您需要使用此命令aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token生成会话令牌。arn-of-the-mfa-device可以在你的个人资料，2FA部分找到。令牌是从设备生成的令牌。
2. 用接收到的AccessKeyId、SecretAccessKey和SessionToken更新aws。AWS建议让cron作业刷新令牌，这意味着如果您正在进行测试，您的prod资源很可能没有启用2FA。您可以通过提供--duration-seconds来增加会话，但最多只能增加36个小时。在认证-mfa-cli可以找到一个很好的解释

这应该能胜任这项工作