Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren
Zusätzlich zu den Amazon-ECR-API-Berechtigungen, die zur Authentifizierung bei einer privaten Registrierung und zum Übertragen und Abrufen von Images erforderlich sind, sind die folgenden zusätzlichen Berechtigungen erforderlich, um Pull-Through-Cache-Regeln effektiv zu verwenden.
-
ecr:CreatePullThroughCacheRule– Gewährt die Berechtigung zum Erstellen einer neuen Pull-Through-Cache-Regel. Diese Berechtigung muss über eine identitätsbasierte IAM-Richtlinie erteilt werden. -
ecr:BatchImportUpstreamImage– Erteilt die Berechtigung, das externe Image abzurufen und in Ihre private Registrierung zu importieren. Diese Berechtigung kann mithilfe der Richtlinie für private Registrierungsberechtigungen, einer identitätsbasierten IAM-Richtlinie oder mithilfe der ressourcenbasierten Repository-Berechtigungsrichtlinie erteilt werden. Weitere Informationen zur Verwendung von Repository-Berechtigungen finden Sie unter Richtlinien für private Repositorys in Amazon ECR. -
ecr:CreateRepository– Gewährt die Berechtigung zum Erstellen eines Repositorys in einer privaten Registrierung. Diese Berechtigung ist erforderlich, wenn das Repository, das die zwischengespeicherten Images speichert, noch nicht existiert. Diese Berechtigung kann entweder durch eine identitätsbasierte IAM-Richtlinie oder die Richtlinie für private Registrierungsberechtigungen erteilt werden.
Verwenden von Registrierungsberechtigungen
Private Registrierungsberechtigungen von Amazon ECRs können verwendet werden, um die Berechtigungen einzelner IAM-Entitäten zur Verwendung von Pull-Through-Cache zu nutzen. Wenn eine IAM-Entität mehr Berechtigungen hat, die durch eine IAM-Richtlinie gewährt werden, als die Registrierungsberechtigungsrichtlinie gewährt, hat die IAM-Richtlinie Vorrang. Wenn dem Benutzer beispielsweise ecr:*-Berechtigungen gewährt wurden, sind auf Registrierungsebene keine zusätzlichen Berechtigungen erforderlich.
Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/
. -
Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre private Registrierungsberechtigungserklärung konfigurieren möchten.
-
Wählen Sie im Navigationsbereich Private Registrierung, Registrierungsberechtigungen aus.
-
Wählen Sie auf der Seite Registrierungsberechtigungen die Option Anweisung generieren aus.
-
Gehen Sie für jede Richtlinienanweisung für Pull-Through-Cache-Berechtigungen, die Sie erstellen möchten, wie folgt vor.
-
Wählen Sie für Richtlinientyp, Pull-Through-Cache-Richtlinie aus.
-
Für Anweisungs-ID, geben Sie einen Namen für die Richtlinie zur Pull-Through-Cache-Anweisung an.
-
Geben Sie für IAM entities (IAM-Entitäten) die Benutzer, Gruppen oder Rollen an, die in die Richtlinie aufgenommen werden sollen.
-
Für Repository-Namespace, wählen Sie die Pull-Through-Cache-Regel aus, mit der Sie die Richtlinie verknüpfen möchten.
-
Für Repository-Namen, geben Sie den Repository-Basisnamen an, für den die Regel angewendet werden soll. Wenn Sie beispielsweise das Amazon-Linux-Repository auf Amazon ECR Public angeben möchten, lautet der Repository-Name
amazonlinux.
-
Verwenden Sie den folgenden AWS CLI Befehl, um die privaten Registrierungsberechtigungen mithilfe von anzugeben. AWS CLI
-
Erstellen Sie eine lokale Datei mit dem Namen
ptc-registry-policy.jsonmit dem Inhalt der Registrierungsrichtlinie. Das folgende Beispiel gewährt demecr-pull-through-cache-userdie Berechtigung ein Repository zu erstellen und ein Image aus Amazon ECR Public abzurufen. Dabei handelt es sich um die Upstream-Quelle, die der zuvor erstellten Pull-Through-Cache-Regel zugeordnet ist.{ "Version": "2012-10-17", "Statement": [ { "Sid": "PullThroughCacheFromReadOnlyRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user" }, "Action": [ "ecr:CreateRepository", "ecr:BatchImportUpstreamImage" ], "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*" } ] }Wichtig
Die
ecr-CreateRepository-Berechtigung ist nur erforderlich, wenn das Repository, das die zwischengespeicherten Bilder speichert, noch nicht existiert. Zum Beispiel, wenn die Repository-Erstellungsaktion und die Image-Pull-Aktionen von separaten IAM-Prinzipalen wie einem Administrator und einem Entwickler ausgeführt werden. -
Verwenden Sie den put-registry-policyBefehl, um die Registrierungsrichtlinie festzulegen.
aws ecr put-registry-policy \ --policy-text file://ptc-registry.policy.json
Nächste Schritte
Sobald Sie bereit sind, mit der Verwendung von Pull-Through-Cache-Regeln zu beginnen, folgen die nächsten Schritte.
-
Erstellen Sie eine Pull-Through-Cache-Regel. Weitere Informationen finden Sie unter Eine Pull-Through-Cache-Regel in Amazon ECR erstellen.
-
Erstellen Sie eine Repository-Erstellungsvorlage. Mit einer Repository-Erstellungsvorlage können Sie die Einstellungen für neue Repositorys festlegen, die von Amazon ECR in Ihrem Namen während einer Pull-Through-Cache-Aktion erstellt werden. Weitere Informationen finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.
