Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können Ihre privaten Amazon-ECR-Repositorys verwenden, um Container-Images und Artefakte zu hosten, aus denen Ihre Amazon-ECR-Aufgaben möglicherweise abrufen. Damit dies funktioniert, muss der Amazon-ECS- oder Fargate-Container-Agent über Berechtigungen zum Erstellen der ecr:BatchGetImage
-, ecr:GetDownloadUrlForLayer
-, und ecr:GetAuthorizationToken
-APIs verfügen.
Erforderliche IAM-Berechtigungen
Die folgende Tabelle zeigt die zu verwendende IAM-Rolle für jeden Starttyp, die die erforderlichen Berechtigungen für Ihre Aufgaben zum Abrufen aus einem privaten Amazon-ECR-Repository bereitstellt. Amazon ECS stellt verwaltete IAM-Richtlinien bereit, die die erforderlichen Berechtigungen enthalten.
Starttyp | IAM-Rolle | AWS verwaltete IAM-Richtlinie |
---|---|---|
Amazon ECS auf Amazon-EC2-Instances |
Verwenden Sie die IAM-Rolle der Container-Instance, die der Amazon-EC2-Instance zugeordnet ist, die in Ihrem Amazon-ECS-Cluster registriert ist. Weitere Informationen finden Sie unter IAM-Rolle der Container-Instance im Entwicklerhandbuch für Amazon Elastic Container Service. |
Weitere Informationen finden Sie unter AmazonEC2ContainerServiceforEC2Role im Entwicklerhandbuch für Amazon Elastic Container Service |
Amazon ECS auf Fargate |
Verwenden Sie die IAM-Rolle zur Aufgabenausführung, auf die Sie in Ihrer Amazon-ECS-Aufgabendefinition verweisen. Weitere Informationen finden Sie unter IAM-Rolle für die Aufgabenausführung im Entwicklerhandbuch für Amazon Elastic Container Service. |
Weitere Informationen finden Sie unter AmazonECSTaskExecutionRolePolicy im Entwicklerhandbuch für Amazon Elastic Container Service. |
Amazon ECS auf externen Instances |
Verwenden Sie die IAM-Rolle der Container-Instance, die dem On-Premises Server oder der virtuellen Maschine (VM) zugeordnet ist, die in Ihrem Amazon_ECS-Cluster registriert ist. Weitere Informationen finden Sie unter Amazon ECS-Rolle der Container-Instance im Entwicklerhandbuch für Amazon Elastic Container Service. |
Weitere Informationen finden Sie unter AmazonEC2ContainerServiceforEC2Role im Entwicklerhandbuch für Amazon Elastic Container Service. |
Wichtig
Die AWS verwalteten IAM-Richtlinien enthalten zusätzliche Berechtigungen, die Sie für Ihre Verwendung möglicherweise nicht benötigen. In diesem Fall sind dies die erforderlichen Mindestberechtigungen für den Abruf aus einem privaten Amazon-ECR-Repository.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
Angeben eines Amazon-ECR-Images in einer Amazon-ECS-Aufgabendefinition
Beim Erstellen einer Amazon-ECR-Aufgabendefinition können Sie ein Container-Image angeben, das in einem privaten Amazon-ECR-Repository gehostet wird. Stellen Sie in der Aufgabendefinition sicher, dass Sie die vollständige registry/repository:tag
-Benennung für Ihre Amazon-ECR-Images verwenden. Beispiel, aws_account_id
.dkr.ecr.region
.amazonaws.com/
.my-repository
:latest
Der folgende Ausschnitt aus der Aufgabendefinition zeigt die Syntax, die Sie verwenden würden, um ein in Amazon ECR gehostetes Container-Image in Ihrer Amazon ECS-Aufgabendefinition anzugeben.
{
"family": "task-definition-name
",
...
"containerDefinitions": [
{
"name": "container-name
",
"image": "aws_account_id
.dkr.ecr.region
.amazonaws.com
/my-repository
:latest
",
...
}
],
...
}