解决aws-actions/configure-aws-credentials中Python登录ECR Public的问题

在使用aws-actions/configure-aws-credentials项目配置AWS凭证并通过Python boto3登录ECR Public时，开发者可能会遇到一个典型的认证失败问题。本文将深入分析问题原因并提供解决方案。

问题现象

当尝试在GitHub Actions环境中使用Python脚本通过boto3客户端登录AWS ECR Public时，会出现500服务器错误，提示"400 Bad Request"。具体表现为：

1. 使用aws-actions/configure-aws-credentials配置AWS凭证
2. 使用amazon-ecr-login action登录ECR Public成功
3. 但在Python脚本中通过boto3.client和docker-py登录时失败

根本原因分析

经过深入排查，发现问题的核心在于base64解码环节。当从ECR Public获取授权令牌时，返回的authorizationToken实际上是经过base64编码的字符串，需要正确解码后才能用于Docker登录。

解决方案

以下是完整的Python实现方案，包含必要的解码步骤：

import base64
import boto3
import docker

def login_to_ecr_public(region_name="us-east-1"):
    # 创建ECR Public客户端
    ecr = boto3.client("ecr-public", region_name=region_name)
    
    # 获取授权令牌
    auth_data = ecr.get_authorization_token()["authorizationData"]
    token = auth_data["authorizationToken"]
    
    # 解码base64令牌
    decoded_token = base64.b64decode(token).decode('utf-8')
    username, password = decoded_token.split(':')
    
    # 使用Docker客户端登录
    client = docker.from_env()
    try:
        login_response = client.login(
            username=username,
            password=password,
            registry="public.ecr.aws"
        )
        print("成功登录ECR Public:", login_response)
    except Exception as e:
        print("登录失败:", str(e))

关键点说明

1. 令牌解码：从ECR获取的授权令牌是base64编码的，格式为"username:password"，需要先解码才能使用
2. 凭证分离：解码后的字符串包含用户名和密码，需要拆分开来分别传入Docker客户端
3. 错误处理：添加了异常捕获以更好地处理可能的登录失败情况

最佳实践建议

1. 在GitHub Actions中，建议优先使用官方的amazon-ecr-login action进行登录
2. 如果必须在Python中实现，确保正确处理令牌解码过程
3. 为安全考虑，建议将敏感信息存储在GitHub Secrets中
4. 为IAM角色配置正确的权限，包括ecr-public:GetAuthorizationToken和sts:GetServiceBearerToken

通过以上方法，开发者可以可靠地在GitHub Actions环境中实现Python对ECR Public的登录操作。