Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Synchronisieren Sie eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung
<a name="pull-through-cache"></a>

Mithilfe von Pull-Through-Cache-Regeln können Sie den Inhalt einer Upstream-Registrierung mit Ihrer privaten Amazon ECR-Registrierung synchronisieren.

Amazon ECR unterstützt derzeit die Erstellung von Pull-Through-Cache-Regeln für die folgenden Upstream-Registries:
+ Amazon ECR Public, Kubernetes Container Image Registry und Quay (erfordert keine Authentifizierung)
+ Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry, GitLab Container Registry und Chainguard Registry (erfordert geheime Authentifizierung) AWS Secrets Manager 
+ Amazon ECR (erfordert Authentifizierung mit AWS IAM-Rolle)

Für GitLab Container Registry unterstützt Amazon ECR den Pull-Through-Cache nur mit dem SaaS-Angebot (Software GitLab as a Service). Weitere Informationen zur Nutzung GitLab des SaaS-Angebots finden Sie unter [GitLab.com](https://docs.gitlab.com/17.5/subscriptions/choosing_subscription/).

Bei Upstream-Registrierungen, die eine Authentifizierung mit Geheimnissen erfordern (wie Docker Hub), müssen Sie Ihre Anmeldeinformationen geheim speichern. AWS Secrets Manager Sie können die Amazon ECR-Konsole verwenden, um Secrets Manager für jede authentifizierte Upstream-Registrierung zu erstellen. Weitere Informationen zum Erstellen eines Secrets Manager Manager-Geheimnisses mit der Secrets Manager-Konsole finden Sie unter[Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).

Für Amazon ECR müssen Sie eine IAM-Rolle erstellen, wenn die Amazon ECR-Upstream- und Downstream-Registers zu unterschiedlichen Konten gehören. AWS Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter [IAM-Richtlinien sind für den kontenübergreifenden ECR-zu-ECR-Pull-Through-Cache erforderlich](pull-through-cache-private.md#pull-through-cache-private-permissions).

Nachdem Sie eine Pull-Through-Cache-Regel für die Upstream-Registrierung erstellt haben, rufen Sie mithilfe Ihrer privaten Amazon ECR-Registry-URI ein Bild aus dieser Upstream-Registrierung ab. Amazon ECR erstellt dann ein Repository und zwischenspeichert dieses Image in Ihrer privaten Registrierung. Bei nachfolgenden Pull-Requests des zwischengespeicherten Images mit einem bestimmten Tag sucht Amazon ECR in der Upstream-Registrierung nach einer neuen Version des Images mit diesem spezifischen Tag und versucht, das Image in Ihrer privaten Registrierung mindestens einmal alle 24 Stunden zu aktualisieren.

## Vorlagen zur Erstellung eines Repositor
<a name="pull-through-cache-respository-creation-template"></a>

Amazon ECR hat Unterstützung für Vorlagen zur Erstellung von Repositorys hinzugefügt, sodass Sie mithilfe von Pull-Through-Cache-Regeln die Anfangskonfigurationen für neue Repositorys festlegen können, die von Amazon ECR in Ihrem Namen erstellt wurden. Jede Vorlage enthält ein Präfix für den Repository-Namespace, das verwendet wird, um neue Repositorys einer bestimmten Vorlage zuzuordnen. In Vorlagen kann die Konfiguration für alle Repository-Einstellungen festgelegt werden, einschließlich ressourcenbasierter Zugriffsrichtlinien, Unveränderlichkeit von Tags, Verschlüsselung und Lebenszyklusrichtlinien. Die Einstellungen in einer Repository-Erstellungsvorlage werden nur bei der Repository-Erstellung angewendet und haben keine Auswirkung auf bestehende Repositorys oder Repositorys, die mit einer anderen Methode erstellt wurden. Weitere Informationen finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).

## Überlegungen zur Verwendung von Pull-Through-Cache-Regeln
<a name="pull-through-cache-considerations"></a>

Beachten Sie Folgendes, wenn Sie Amazon ECR Pull-Through-Cache-Regeln verwenden.
+ Die Erstellung von Pull-Through-Cache-Regeln wird in den folgenden Regionen nicht unterstützt.
  + China (Peking) (`cn-north-1`)
  + China (Ningxia) (`cn-northwest-1`)
  + AWS GovCloud (US-Ost) () `us-gov-east-1`
  + AWS GovCloud (US-West) () `us-gov-west-1`
+ AWS Lambda unterstützt das Abrufen von Container-Images aus Amazon ECR mithilfe einer Pull-Through-Cache-Regel nicht.
+ Beim Abrufen von Images mit dem Pull-Through-Cache werden die Amazon-ECR-FIPS-Service-Endpunkte beim ersten Abrufen eines Images nicht unterstützt. Die Verwendung der Amazon-ECR-FIPS-Service-Endpunkte funktioniert jedoch bei nachfolgenden Abrufen.
+ Bei Upstream-Repositorys, die eine Authentifizierung erfordern, werden die Image-Pulls von dem Benutzer initiiert, der mit den in der Pull-Through-Cache-Regel konfigurierten Anmeldeinformationen verknüpft ist, wenn ein Image zum ersten Mal über die private Amazon ECR-Registrierungs-URI abgerufen wird oder um den Cache zu aktualisieren. Bei nachfolgenden Abrufen wird das Image direkt aus dem Cache in der privaten Registrierung des Kunden zurückgegeben.
+ Bei Upstream-Repositorys, für die keine Authentifizierung erforderlich ist, werden die Image-Pulls durch IP-Adressen initiiert, wenn ein Image über die private Amazon ECR-Registrierungs-URI abgerufen wird AWS .
+ Wenn ein zwischengespeichertes Image durch die URI der privaten Registrierung von Amazon ECR abgerufen wird, überprüft Amazon ECR das Upstream-Repository mindestens einmal alle 24 Stunden, um sicherzustellen, dass das zwischengespeicherte Image die neueste Version ist. Wenn sich in der Upstream-Registrierung ein neueres Image befindet, versucht Amazon ECR, das zwischengespeicherte Image zu aktualisieren. Dieser Timer basiert auf dem letzten Abruf des zwischengespeicherten Images.
+ Wenn Amazon ECR das Image aus der Upstream-Registrierung aus irgendeinem Grund nicht aktualisieren kann und das Image abgerufen wird, wird trotzdem das letzte zwischengespeicherte Image abgerufen.
+ Bei der Erstellung des Secrets-Manager-Secrets, das die Anmeldeinformationen für die Upstream-Registrierung enthält, muss der geheime Name das Präfix `ecr-pullthroughcache/` verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.
+ Wenn ein Image mit mehreren Architekturen mithilfe einer Pull-Through-Cache-Regel abgerufen wird, werden die Manifestliste und jedes in der Manifestliste referenzierte Image in das Amazon-ECR-Repository abgerufen. Wenn Sie nur eine bestimmte Architektur abrufen möchten, können Sie das Image mithilfe des mit der Architektur verknüpften Image-Digests oder -Tags anstelle des mit der Manifestliste verknüpften Tags abrufen.
+ Amazon ECR verwendet eine serviceverknüpfte IAM-Rolle, die die Berechtigungen bereitstellt, die Amazon ECR benötigt, um das Repository für Sie zu erstellen, den Wert des Secrets-Manager-Secrets für die Authentifizierung abzurufen und das zwischengespeicherte Image in Ihrem Namen zu übertragen. Die serviceverknüpfte IAM-Rolle wird beim Erstellen einer Pull-Through-Cache-Regel erstellt. Weitere Informationen finden Sie unter [Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache](slr-pullthroughcache.md).
+ Standardmäßig verfügen der IAM-Prinzipal, der das zwischengespeicherte Image abruft, über die Berechtigungen, die ihnen durch ihre IAM-Richtlinie erteilt wurde. Sie können die Berechtigungsrichtlinie für die private Registrierung von Amazon ECR verwenden, um die Berechtigungen einer IAM-Entität weiter einzugrenzen. Weitere Informationen finden Sie unter [Verwenden von Registrierungsberechtigungen](pull-through-cache-iam.md#pull-through-cache-registry-permissions).
+ Amazon-ECR-Repositorys, die mit dem Pull-Through-Cache-Workflow erstellt wurden, werden wie jedes andere Amazon-ECR-Repository behandelt. Alle Repository-Features wie Replikation und Image-Scan werden unterstützt.
+ Wenn Amazon ECR in Ihrem Namen mithilfe einer Pull-Through-Cache-Aktion ein neues Repository erstellt, werden die folgenden Standardeinstellungen auf das Repository angewendet, sofern es keine passende Repository-Erstellungsvorlage gibt. Sie können eine Repository-Erstellungsvorlage verwenden, um die Einstellungen zu definieren, die auf Repositorys angewendet werden, die von Amazon ECR in Ihrem Namen erstellt wurden. Weitere Informationen finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).
  + Unveränderlichkeit von Tags — Die Unveränderlichkeit von Tags gibt an, ob Image-Tags überschrieben werden können. Standardmäßig sind Bild-Tags veränderbar (können überschrieben werden). **Sie können das Tag-Verhalten ändern, indem Sie Tag-Ausschlussfilter entweder im Textfeld zum **Ausschluss von veränderbaren Tags** konfigurieren, wenn **Veränderbar** ausgewählt ist, oder im Textfeld **Unveränderlicher Tag-Ausschluss, wenn Unveränderlich** ausgewählt ist.**
  + Verschlüsselung — Die `AES256` Standardverschlüsselung wird verwendet.
  + Repository-Berechtigungen — Ausgelassen, es wird keine Repository-Berechtigungsrichtlinie angewendet.
  + Lifecycle-Richtlinie — Ausgelassen, es wird keine Lebenszyklus-Richtlinie angewendet.
  + Ressourcen-Tags — Ausgelassen, es werden keine Ressourcen-Tags angewendet.
+ Wenn Sie die Unveränderlichkeit von Image-Tags für Repositorys aktivieren, die eine Pull-Through-Cache-Regel verwenden, wird Amazon ECR daran gehindert, Images zu aktualisieren, die dasselbe Tag verwenden.
+ Wenn ein Bild zum ersten Mal mithilfe der Pull-Through-Cache-Regel abgerufen wird, ist möglicherweise eine Route zum Internet erforderlich. Unter bestimmten Umständen ist eine Route zum Internet erforderlich. Es empfiehlt sich daher, eine Route einzurichten, um Ausfälle zu vermeiden. Wenn Sie also Amazon ECR so konfiguriert haben, dass ein VPC-Endpunkt eine Schnittstelle verwendet, AWS PrivateLink müssen Sie sicherstellen, dass der erste Pull eine Route zum Internet hat. Eine Möglichkeit, dies zu tun, besteht darin, in derselben VPC ein öffentliches Subnetz mit einem Internet-Gateway zu erstellen und dann den gesamten ausgehenden Datenverkehr von ihrem privaten Subnetz zum öffentlichen Subnetz ins Internet weiterzuleiten. Nachfolgende Image-Pulls unter Verwendung der Pull-Through-Cache-Regel erfordern dies nicht. Weitere Informationen finden Sie unter [Beispiel für Routing-Optionen](https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html) im *Benutzerhandbuch von Amazon Virtual Private Cloud*.

# IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren
<a name="pull-through-cache-iam"></a>

Zusätzlich zu den Amazon-ECR-API-Berechtigungen, die zur Authentifizierung bei einer privaten Registrierung und zum Übertragen und Abrufen von Images erforderlich sind, sind die folgenden zusätzlichen Berechtigungen erforderlich, um Pull-Through-Cache-Regeln effektiv zu verwenden.
+ `ecr:CreatePullThroughCacheRule` – Gewährt die Berechtigung zum Erstellen einer neuen Pull-Through-Cache-Regel. Diese Berechtigung muss über eine identitätsbasierte IAM-Richtlinie erteilt werden.
+ `ecr:BatchImportUpstreamImage` – Erteilt die Berechtigung, das externe Image abzurufen und in Ihre private Registrierung zu importieren. Diese Berechtigung kann mithilfe der Richtlinie für private Registrierungsberechtigungen, einer identitätsbasierten IAM-Richtlinie oder mithilfe der ressourcenbasierten Repository-Berechtigungsrichtlinie erteilt werden. Weitere Informationen zur Verwendung von Repository-Berechtigungen finden Sie unter [Richtlinien für private Repositorys in Amazon ECR](repository-policies.md).
+ `ecr:CreateRepository` – Gewährt die Berechtigung zum Erstellen eines Repositorys in einer privaten Registrierung. Diese Berechtigung ist erforderlich, wenn das Repository, das die zwischengespeicherten Images speichert, noch nicht existiert. Diese Berechtigung kann entweder durch eine identitätsbasierte IAM-Richtlinie oder die Richtlinie für private Registrierungsberechtigungen erteilt werden.

## Verwenden von Registrierungsberechtigungen
<a name="pull-through-cache-registry-permissions"></a>

Private Registrierungsberechtigungen von Amazon ECRs können verwendet werden, um die Berechtigungen einzelner IAM-Entitäten zur Verwendung von Pull-Through-Cache zu nutzen. Wenn eine IAM-Entität mehr Berechtigungen hat, die durch eine IAM-Richtlinie gewährt werden, als die Registrierungsberechtigungsrichtlinie gewährt, hat die IAM-Richtlinie Vorrang. Wenn dem Benutzer beispielsweise `ecr:*`-Berechtigungen gewährt wurden, sind auf Registrierungsebene keine zusätzlichen Berechtigungen erforderlich.

### So erstellen Sie eine Richtlinie für private Registrierungsberechtigungen (AWS-Managementkonsole)
<a name="pull-through-cache-registry-permissions-console"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre private Registrierungsberechtigungserklärung konfigurieren möchten.

1. Wählen Sie im Navigationsbereich **Private Registrierung**, **Registrierungsberechtigungen** aus.

1. Wählen Sie auf der Seite **Registrierungsberechtigungen** die Option **Anweisung generieren** aus.

1. Gehen Sie für jede Richtlinienanweisung für Pull-Through-Cache-Berechtigungen, die Sie erstellen möchten, wie folgt vor.

   1. Wählen Sie für **Richtlinientyp**, **Pull-Through-Cache-Richtlinie** aus.

   1. Für **Anweisungs-ID**, geben Sie einen Namen für die Richtlinie zur Pull-Through-Cache-Anweisung an.

   1. Geben Sie für **IAM entities** (IAM-Entitäten) die Benutzer, Gruppen oder Rollen an, die in die Richtlinie aufgenommen werden sollen.

   1. Für **Repository-Namespace**, wählen Sie die Pull-Through-Cache-Regel aus, mit der Sie die Richtlinie verknüpfen möchten.

   1. Für **Repository-Namen**, geben Sie den Repository-Basisnamen an, für den die Regel angewendet werden soll. Wenn Sie beispielsweise das Amazon-Linux-Repository auf Amazon ECR Public angeben möchten, lautet der Repository-Name `amazonlinux`.

### So erstellen Sie eine Richtlinie für private Registrierungsberechtigungen (AWS CLI)
<a name="pull-through-cache-registry-permissions-cli"></a>

Verwenden Sie den folgenden AWS CLI Befehl, um die privaten Registrierungsberechtigungen mithilfe von anzugeben. AWS CLI

1. Erstellen Sie eine lokale Datei mit dem Namen `ptc-registry-policy.json` mit dem Inhalt der Registrierungsrichtlinie. Das folgende Beispiel gewährt dem `ecr-pull-through-cache-user` die Berechtigung ein Repository zu erstellen und ein Image aus Amazon ECR Public abzurufen. Dabei handelt es sich um die Upstream-Quelle, die der zuvor erstellten Pull-Through-Cache-Regel zugeordnet ist.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "PullThroughCacheFromReadOnlyRole",
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
         },
         "Action": [
           "ecr:CreateRepository",
           "ecr:BatchImportUpstreamImage"
         ],
         "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
       }
     ]
   }
   ```

------
**Wichtig**  
Die `ecr-CreateRepository`-Berechtigung ist nur erforderlich, wenn das Repository, das die zwischengespeicherten Bilder speichert, noch nicht existiert. Zum Beispiel, wenn die Repository-Erstellungsaktion und die Image-Pull-Aktionen von separaten IAM-Prinzipalen wie einem Administrator und einem Entwickler ausgeführt werden.

1. Verwenden Sie den [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)Befehl, um die Registrierungsrichtlinie festzulegen.

   ```
   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json
   ```

## Nächste Schritte
<a name="pull-through-cache-next-steps"></a>

Sobald Sie bereit sind, mit der Verwendung von Pull-Through-Cache-Regeln zu beginnen, folgen die nächsten Schritte.
+ Erstellen Sie eine Pull-Through-Cache-Regel. Weitere Informationen finden Sie unter [Eine Pull-Through-Cache-Regel in Amazon ECR erstellen](pull-through-cache-creating-rule.md).
+ Erstellen Sie eine Repository-Erstellungsvorlage. Mit einer Repository-Erstellungsvorlage können Sie die Einstellungen für neue Repositorys festlegen, die von Amazon ECR in Ihrem Namen während einer Pull-Through-Cache-Aktion erstellt werden. Weitere Informationen finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).

# Berechtigungen für kontenübergreifendes ECR auf ECR einrichten PTC
<a name="pull-through-cache-private"></a>

Die Pull-Through-Cache-Funktion von Amazon ECR zu Amazon ECR (ECR to ECR) ermöglicht die automatische Synchronisation von Bildern zwischen Regionen, AWS Konten oder beidem. Mit ECR to ECR PTC können Sie Bilder in Ihre primäre Amazon ECR-Registrierung übertragen und eine Pull-Through-Cache-Regel konfigurieren, um Bilder in nachgelagerten Amazon ECR-Registern zwischenzuspeichern.

## IAM-Richtlinien sind für den kontenübergreifenden ECR-zu-ECR-Pull-Through-Cache erforderlich
<a name="pull-through-cache-private-permissions"></a>

Um Bilder zwischen Amazon ECR-Registern über verschiedene AWS Konten hinweg zwischenzuspeichern, erstellen Sie eine IAM-Rolle im Downstream-Konto und konfigurieren Sie die Richtlinien in diesem Abschnitt so, dass sie die folgenden Berechtigungen bereitstellen:
+ Amazon ECR benötigt Berechtigungen, um in Ihrem Namen Bilder aus der vorgelagerten Amazon ECR-Registrierung abzurufen. Sie können diese Berechtigungen gewähren, indem Sie eine IAM-Rolle erstellen und diese dann in Ihrer Pull-Through-Cache-Regel angeben. 
+ Der Eigentümer der Upstream-Registrierung muss dem Eigentümer der Cache-Registrierung auch die erforderlichen Berechtigungen zum Abrufen der Bilder in die Ressourcenrichtlinien gewähren.

**Topics**
+ [Erstellen einer IAM-Rolle zur Definition der Pull Through-Cache-Berechtigungen](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [Erstellen einer Vertrauensrichtlinie für die IAM-Rolle](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [Erstellen einer Ressourcenrichtlinie in der vorgelagerten Amazon ECR-Registrierung](#ecr-creating-registry-permissions-policy-in-upstream-registry)

### Erstellen einer IAM-Rolle zur Definition der Pull Through-Cache-Berechtigungen
<a name="ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache"></a>

Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die einer IAM-Rolle die Berechtigung erteilt, in Ihrem Namen Bilder aus der vorgelagerten Amazon ECR-Registrierung abzurufen. Wenn Amazon ECR die Rolle übernimmt, erhält es die in dieser Richtlinie angegebenen Berechtigungen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Erstellen einer Vertrauensrichtlinie für die IAM-Rolle
<a name="ecr-creating-a-trust-policy-for-the-iam-role"></a>

Das folgende Beispiel zeigt eine Vertrauensrichtlinie, die den Amazon ECR Pull-Through-Cache als den AWS Service Principal identifiziert, der die Rolle übernehmen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

### Erstellen einer Ressourcenrichtlinie in der vorgelagerten Amazon ECR-Registrierung
<a name="ecr-creating-registry-permissions-policy-in-upstream-registry"></a>

Der Besitzer der Amazon ECR-Upstream-Registrierung muss außerdem eine Registrierungsrichtlinie oder eine Repository-Richtlinie hinzufügen, um dem Eigentümer der Downstream-Registrierung die erforderlichen Berechtigungen zur Durchführung der folgenden Aktionen zu gewähren. 

**Anmerkung**  
Die folgende Ressourcenrichtlinie ist nur für **kontenübergreifende** ECR-to-ECR-Pull-Through-Cache-Konfigurationen erforderlich. Für einen **regionsübergreifenden Pull-Through-Cache mit demselben Konto** benötigen Sie nur die IAM-Rollen- und Vertrauensrichtlinie, die in den vorherigen Abschnitten beschrieben wurden. Die Hauptberechtigung für das Root-Konto ist nicht erforderlich, wenn sich die Upstream- und Downstream-Registries im selben Konto befinden. AWS 

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```

# Eine Pull-Through-Cache-Regel in Amazon ECR erstellen
<a name="pull-through-cache-creating-rule"></a>

Für jede Upstream-Registry, die Bilder enthält, die Sie in Ihrer privaten Amazon ECR-Registrierung zwischenspeichern möchten, müssen Sie eine Pull-Through-Cache-Regel erstellen.

Für Upstream-Registrierungen, die eine Authentifizierung mit Geheimnissen erfordern, müssen Sie die Anmeldeinformationen in einem Secrets Manager Manager-Geheimnis speichern. Sie können ein vorhandenes Geheimnis verwenden oder ein neues Geheimnis erstellen. Sie können das Secrets Manager Manager-Geheimnis entweder in der Amazon ECR-Konsole oder in der Secrets Manager Manager-Konsole erstellen. Informationen zum Erstellen eines Secrets Manager Manager-Geheimnisses mit der Secrets Manager Manager-Konsole statt mit der Amazon ECR-Konsole finden Sie unter[Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).

## Voraussetzungen
<a name="cache-rule-prereq"></a>
+ Stellen Sie sicher, dass Sie über die richtigen IAM-Berechtigungen zum Erstellen von Pull-Through-Cache-Regeln verfügen. Weitere Informationen finden Sie unter [IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren](pull-through-cache-iam.md).
+ Für Upstream-Registrierungen, die eine Authentifizierung mit Geheimnissen erfordern: Wenn Sie ein vorhandenes Geheimnis verwenden möchten, stellen Sie sicher, dass das Secrets Manager Manager-Geheimnis die folgenden Anforderungen erfüllt:
  + Der Name des Geheimnisses beginnt mit`ecr-pullthroughcache/`. Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse mit dem `ecr-pullthroughcache/` Präfix an.
  + Das Konto und die Region, in denen sich der geheime Schlüssel befindet, müssen mit dem Konto und der Region übereinstimmen, in denen sich die Pull-Through-Cache-Regel befindet.

## So erstellen Sie eine Pull-Through-Cache-Regel (AWS-Managementkonsole)
<a name="pull-through-cache-creating-rule-console"></a>

Die folgenden Schritte zeigen, wie Sie mit der Amazon-ECR-Konsole eine Pull-Through-Cache-Regel und ein Secrets-Manager-Secret erstellen. Informationen zum Erstellen eines Secrets mit der Secrets Manager Manager-Konsole finden Sie unter[Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).

### Für Amazon ECR Public, Kubernetes Container Registry oder Quay
<a name="w2aac28c27b9b7b1"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Geben Sie eine Quelle** für **Registry** entweder Amazon ECR Public, Kubernetes oder Quay aus der Liste der Upstream-Registrierungen aus und klicken Sie dann auf **Weiter**.

1. Geben Sie auf der Seite **Schritt 2: Geben Sie ein Ziel an** für das **Repository-Präfix von Amazon ECR** das Präfix für den Repository-Namespace an, das beim Zwischenspeichern von Images verwendet werden soll, und wählen Sie dann **Weiter** aus. Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 3: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Docker Hub
<a name="w2aac28c27b9b7b3"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Geben Sie eine Quelle an** für **Registrierung** die Option **Docker Hub** und dann **Weiter** aus. 

1. Auf der Seite **Schritt 2: Authentifizierung konfigurieren** müssen Sie für **Upstream-Anmeldeinformationen** Ihre Authentifizierungsdaten für Docker Hub in einem AWS Secrets Manager -Secret speichern. Sie können ein vorhandenes Secret angeben oder die Amazon-ECR-Konsole verwenden, um ein neues Secret zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie **Vorhandenes AWS Geheimnis verwenden**. Wählen Sie unter **Geheimer Name** in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann **Weiter** aus.
**Anmerkung**  
Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   1. Um ein neues Secret zu erstellen, wählen Sie **Ein AWS -Secret erstellen** aus, gehen Sie wie folgt vor und klicken Sie dann auf **Weiter**.

      1. Geben Sie unter **Geheimer Name** einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      1. Geben Sie für **Docker Hub-E-Mail** Ihre Docker Hub-E-Mail an.

      1. Geben Sie für das **Docker-Hub-Zugriffstoken** Ihr Docker-Hub-Zugriffstoken an. Weitere Informationen zum Erstellen eines Docker-Hub-Zugriffstokens finden Sie unter [Zugriffstoken erstellen und verwalten](https://docs.docker.com/security/for-developers/access-tokens/) in der Docker-Dokumentation.

1. Geben Sie auf der Seite **Schritt 3: Geben Sie ein Ziel an** für das **Repository-Präfix von Amazon ECR** den Repository-Namespace an, der beim Zwischenspeichern von Images verwendet werden soll, und wählen Sie dann **Weiter** aus.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Container Registry GitHub
<a name="w2aac28c27b9b7b5"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Quelle angeben** für **Registry GitHub ** **Container Registry**, **Next** aus. 

1. Auf der Seite **Schritt 2: Authentifizierung konfigurieren** müssen Sie für **Upstream-Anmeldeinformationen** Ihre Authentifizierungsdaten für GitHub Container Registry AWS Secrets Manager geheim speichern. Sie können ein vorhandenes Secret angeben oder die Amazon-ECR-Konsole verwenden, um ein neues Secret zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie **Vorhandenes AWS Geheimnis verwenden** aus. Wählen Sie unter **Geheimer Name** in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann **Weiter** aus.
**Anmerkung**  
Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   1. Um ein neues Secret zu erstellen, wählen Sie **Ein AWS -Secret erstellen** aus, gehen Sie wie folgt vor und klicken Sie dann auf **Weiter**.

      1. Geben Sie unter **Geheimer Name** einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      1. Geben Sie als **GitHub Container Registry-Benutzername** Ihren GitHub Container Registry-Benutzernamen an.

      1. Geben Sie für das **Zugriffstoken für die GitHub Container Registry** Ihr Zugriffstoken für die GitHub Container Registry an. Weitere Informationen zum Erstellen eines GitHub Zugriffstokens finden Sie in der GitHub Dokumentation unter [Verwaltung Ihrer persönlichen Zugriffstoken](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens).

1. Geben Sie auf der Seite **Schritt 3: Geben Sie ein Ziel an** für das **Repository-Präfix von Amazon ECR** den Repository-Namespace an, der beim Zwischenspeichern von Images verwendet werden soll, und wählen Sie dann **Weiter** aus.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Microsoft Azure Container Registry
<a name="w2aac28c27b9b7b7"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Führen Sie auf der Seite **Schritt 1: Geben Sie eine Quelle an** die folgenden Schritte aus.

   1. Wählen Sie für **Registry** **Microsoft Azure Container Registry**

   1. Geben Sie unter **Quellregistrierungs-URL** den Namen Ihrer Microsoft Azure Container Registry an und wählen Sie dann **Weiter** aus.
**Wichtig**  
Sie müssen nur das Präfix angeben, da das Suffix `.azurecr.io` in Ihrem Namen ausgefüllt wird.

1. Auf der Seite **Schritt 2: Authentifizierung konfigurieren** müssen Sie für **Upstream-Anmeldeinformationen** Ihre Authentifizierungsdaten für die Microsoft Azure Container Registry in einem AWS Secrets Manager -Secret speichern. Sie können ein vorhandenes Secret angeben oder die Amazon-ECR-Konsole verwenden, um ein neues Secret zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie **Vorhandenes AWS Geheimnis verwenden**. Wählen Sie unter **Geheimer Name** in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann **Weiter** aus.
**Anmerkung**  
Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   1. Um ein neues Secret zu erstellen, wählen Sie **Ein AWS -Secret erstellen** aus, gehen Sie wie folgt vor und klicken Sie dann auf **Weiter**.

      1. Geben Sie unter **Geheimer Name** einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      1. Geben Sie für den **Microsoft-Azure-Container-Registry-Benutzernamen** Ihren Benutzernamen für die Microsoft Azure Container Registry an.

      1. Geben Sie für den **Microsoft-Azure-Container-Registry-Zugriffstoken** Ihren Zugriffstoken für die Microsoft Azure Container Registry an. Weitere Informationen zum Erstellen eines Zugriffstokens für die Microsoft Azure Container Registry finden unter [Token erstellen – Portal](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) in der Microsoft Azure-Dokumentation.

1. Geben Sie auf der Seite **Schritt 3: Geben Sie ein Ziel an** für das **Repository-Präfix von Amazon ECR** den Repository-Namespace an, der beim Zwischenspeichern von Images verwendet werden soll, und wählen Sie dann **Weiter** aus.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für GitLab Container Registry
<a name="w2aac28c27b9b7b9"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Quelle angeben** für Registry GitLab Container Registry, Next aus.

1. Auf der Seite **Schritt 2: Authentifizierung konfigurieren** müssen Sie für **Upstream-Anmeldeinformationen** Ihre Authentifizierungsdaten für GitLab Container Registry AWS Secrets Manager geheim speichern. Sie können ein vorhandenes Secret angeben oder die Amazon-ECR-Konsole verwenden, um ein neues Secret zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie **Vorhandenes AWS Geheimnis verwenden** aus. Wählen Sie unter **Geheimer Name** in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann **Weiter** aus. Weitere Informationen zum Erstellen eines Secrets-Manager-Secrets mit der Secrets-Manager-Konsole finden Sie unter [Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).
**Anmerkung**  
Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   1. Um ein neues Secret zu erstellen, wählen Sie **Ein AWS -Secret erstellen** aus, gehen Sie wie folgt vor und klicken Sie dann auf **Weiter**.

      1. Geben Sie unter **Geheimer Name** einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      1. Geben Sie als **GitLab Container Registry-Benutzername** Ihren GitLab Container Registry-Benutzernamen an.

      1. Geben Sie für das **Zugriffstoken für die GitLab Container Registry** Ihr Zugriffstoken für die GitLab Container Registry an. Weitere Informationen zur Erstellung eines [Zugriffstokens für die GitLab Container Registry finden Sie in der GitLab Dokumentation unter Persönliche](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html) [Zugriffstoken, Gruppenzugriffstoken](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html) [oder Projektzugriffstoken](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html).

1. Geben Sie auf der Seite **Schritt 3: Geben Sie ein Ziel an** für das **Repository-Präfix von Amazon ECR** den Repository-Namespace an, der beim Zwischenspeichern von Images verwendet werden soll, und wählen Sie dann **Weiter** aus.

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Amazon ECR private Registrierung in Ihrem Konto AWS
<a name="ecr-to-pull-images-from-other-regions-within-your-account"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Upstream angeben** für **Registrierung** **Amazon ECR Private** und **Dieses Konto** aus. Wählen Sie **unter Region** die Region für die vorgelagerte Amazon ECR-Registrierung aus, und klicken Sie dann auf **Weiter**.

1. **Wählen Sie auf der Seite **Schritt 2: Namespaces angeben** für **Cache-Namespace** aus, ob Sie Pull-Through-Cache-Repositorys mit **einem** bestimmten Präfix oder ohne Präfix erstellen möchten.** Wenn Sie **Ein bestimmtes Präfix** auswählen, müssen Sie einen Präfixnamen angeben, der als Teil des Namespaces für das Zwischenspeichern von Bildern aus der Upstream-Registrierung verwendet werden soll.

1. Wählen Sie für den **Upstream-Namespace** aus, ob **ein bestimmter Präfix** abgerufen werden soll, der in der Upstream-Registrierung vorhanden ist. Wenn Sie **kein Präfix** auswählen, können Sie Daten aus einem beliebigen Repository in der Upstream-Registrierung abrufen. Geben Sie das Upstream-Repository-Präfix an, wenn Sie dazu aufgefordert werden, und wählen Sie dann **Weiter**.
**Anmerkung**  
Weitere Informationen zum Anpassen von Cache- und Upstream-Namespaces finden Sie unter. [Anpassen der Repository-Präfixe für den ECR- und ECR-Pull-Through-Cache](pull-through-cache-private-wildcards.md)

1. Überprüfen Sie auf der Seite **Schritt 3: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie diese Schritte für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Amazon ECR private Registrierung von einem anderen Konto AWS
<a name="w2aac28c27b9b7c13"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite **Schritt 1: Upstream angeben** für **Registry** die Option **Amazon ECR Private** and **Cross account** aus. Wählen Sie **unter Region** die Region für die vorgelagerte Amazon ECR-Registrierung aus. Geben Sie **unter AWS Konto** die Konto-ID für die vorgelagerte Amazon ECR-Registrierung an, und wählen Sie dann **Weiter**.

1. **Wählen Sie auf der Seite **Schritt 2: Berechtigungen angeben** für die **IAM-Rolle eine Rolle** aus, die für den kontoübergreifenden Pull-Through-Cache-Zugriff verwendet werden soll, und wählen Sie dann Create aus.**
**Anmerkung**  
Stellen Sie sicher, dass Sie die IAM-Rolle auswählen, die die in erstellten Berechtigungen verwendet. [IAM-Richtlinien sind für den kontenübergreifenden ECR-zu-ECR-Pull-Through-Cache erforderlich](pull-through-cache-private.md#pull-through-cache-private-permissions)

1. **Wählen Sie auf der Seite **Schritt 3: Namespaces angeben** für **Cache-Namespace** aus, ob Sie Pull-Through-Cache-Repositorys mit **einem** bestimmten Präfix oder ohne Präfix erstellen möchten.** Wenn Sie **Ein bestimmtes Präfix** auswählen, müssen Sie einen Präfixnamen angeben, der als Teil des Namespaces für das Zwischenspeichern von Bildern aus der Upstream-Registrierung verwendet werden soll.

1. Wählen Sie für den **Upstream-Namespace** aus, ob **ein bestimmter Präfix** abgerufen werden soll, der in der Upstream-Registrierung vorhanden ist. Wenn Sie **kein Präfix** auswählen, können Sie Daten aus einem beliebigen Repository in der Upstream-Registrierung abrufen. Geben Sie das Upstream-Repository-Präfix an, wenn Sie dazu aufgefordert werden, und wählen Sie dann **Weiter**.
**Anmerkung**  
Weitere Informationen zum Anpassen von Cache- und Upstream-Namespaces finden Sie unter. [Anpassen der Repository-Präfixe für den ECR- und ECR-Pull-Through-Cache](pull-through-cache-private-wildcards.md)

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie diese Schritte für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

### Für Chainguard Registry
<a name="w2aac28c27b9b7c15"></a>

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre privaten Registrierungseinstellungen konfigurieren möchten.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die Option **Regel hinzufügen** aus.

1. Wählen Sie auf der Seite „**Schritt 1: Geben Sie eine Quelle** an“ für Registrierung die Option Chainguard Registry, Next aus.

1. Auf der Seite **Schritt 2: Authentifizierung konfigurieren** müssen Sie für **Upstream-Anmeldeinformationen** Ihre Authentifizierungsdaten für Chainguard Registry geheim speichern. AWS Secrets Manager Sie können ein vorhandenes Secret angeben oder die Amazon-ECR-Konsole verwenden, um ein neues Secret zu erstellen.

   1. Um ein vorhandenes Geheimnis zu verwenden, wählen Sie **Vorhandenes AWS Geheimnis verwenden** aus. Wählen Sie unter **Geheimer Name** in der Auswahlliste Ihr vorhandenes Secret aus und wählen Sie dann **Weiter** aus. Weitere Informationen zum Erstellen eines Secrets-Manager-Secrets mit der Secrets-Manager-Konsole finden Sie unter [Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).
**Anmerkung**  
Zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden. Das Secret muss sich außerdem in demselben Konto und derselben Region befinden, in der die Pull-Through-Cache-Regel erstellt wurde.

   1. Um ein neues Secret zu erstellen, wählen Sie **Ein AWS -Secret erstellen** aus, gehen Sie wie folgt vor und klicken Sie dann auf **Weiter**.

      1. Geben Sie unter **Geheimer Name** einen aussagekräftigen Namen für das Secret an. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten.

      1. Geben Sie für den **Chainguard Registry-Benutzernamen** Ihren Chainguard Registry-Benutzernamen an.

      1. Geben Sie für das **Chainguard Registry Pull-Token Ihr Chainguard Registry Pull-Token** an. Weitere Informationen zum Erstellen eines Chainguard Registry-Pull-Tokens finden Sie unter [Authentifizierung mit einem](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token) Pull-Token in der Chainguard-Dokumentation.

1. **Geben Sie auf der Seite **Schritt 3: Ziel angeben** für das **Amazon ECR-Repository-Präfix den Repository-Namespace** an, der beim Zwischenspeichern von Bildern aus der Quellregistrierung verwendet werden soll, und wählen Sie dann Weiter.**

   Standardmäßig wird ein Namespace ausgefüllt, aber auch ein benutzerdefinierter Namespace kann angegeben werden.

1. Überprüfen Sie auf der Seite **Schritt 4: Überprüfen und erstellen** die Konfiguration der Pull-Through-Cache-Regel und wählen Sie dann **Erstellen** aus.

1. Wiederholen Sie den vorangehenden Schritt für jeden Pull-Through-Cache, den Sie erstellen möchten. Die Pull-Through-Cache-Regeln werden für jede Region separat erstellt.

## So erstellen Sie eine Pull-Through-Cache-Regel (AWS CLI)
<a name="pull-through-cache-creating-rule-cli"></a>

Verwenden Sie den AWS CLI Befehl [create-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/create-pull-through-cache-rule.html), um eine Pull-Through-Cache-Regel für eine private Amazon ECR-Registrierung zu erstellen. Für Upstream-Registrierungen, die eine Authentifizierung mit Geheimnissen erfordern, müssen Sie die Anmeldeinformationen in einem Secrets Manager Manager-Geheimnis speichern. Informationen zum Erstellen eines Secrets mit der Secrets Manager Manager-Konsole finden Sie unter[Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager](pull-through-cache-creating-secret.md).

Die folgenden Beispiele werden für jede unterstützte Upstream-Registrierung bereitgestellt.

### Für Amazon ECR Public
<a name="w2aac28c27c11b7b1"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die öffentliche Registrierung von Amazon ECR erstellt. Es gibt ein Repository-Präfix von `ecr-public`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `ecr-public/upstream-repository-name` hat.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --upstream-registry-url public.ecr.aws \
     --region us-east-2
```

### Für Kubernetes Container Registry
<a name="w2aac28c27c11b7b3"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für das öffentliche Kubernetes-Registry erstellt. Es gibt ein Repository-Präfix von `kubernetes`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `kubernetes/upstream-repository-name` hat.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix kubernetes \
     --upstream-registry-url registry.k8s.io \
     --region us-east-2
```

### Für Quay
<a name="w2aac28c27c11b7b5"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die öffentliche Registrierung von Quay erstellt. Es gibt ein Repository-Präfix von `quay`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `quay/upstream-repository-name` hat.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix quay \
     --upstream-registry-url quay.io \
     --region us-east-2
```

### Für Docker Hub
<a name="w2aac28c27c11b7b7"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die Docker-Hub-Registrierung von Quay erstellt. Es gibt ein Repository-Präfix von `docker-hub`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `docker-hub/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Secrets mit Ihren Anmeldeinformationen für Docker Hub angeben.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix docker-hub \
     --upstream-registry-url registry-1.docker.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Für Container Registry GitHub
<a name="w2aac28c27c11b7b9"></a>

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die GitHub Container Registry erstellt. Es gibt ein Repository-Präfix von `github`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `github/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Anmeldeinformationen für die GitHub Container Registry enthält.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix github \
     --upstream-registry-url ghcr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Für Microsoft Azure Container Registry
<a name="w2aac28c27c11b7c11"></a>

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die Microsoft Azure Container Registry erstellt. Es gibt ein Repository-Präfix von `azure`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `azure/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Secrets mit Ihren Anmeldeinformationen für die Microsoft Azure Container Registry angeben.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix azure \
     --upstream-registry-url myregistry.azurecr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Für GitLab Container Registry
<a name="w2aac28c27c11b7c13"></a>

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die GitLab Container Registry erstellt. Es gibt ein Repository-Präfix von `gitlab`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `gitlab/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Anmeldeinformationen für die GitLab Container Registry enthält.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix gitlab \
     --upstream-registry-url registry.gitlab.com \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Für Amazon ECR private Registrierung in Ihrem Konto AWS
<a name="w2aac28c27c11b7c15"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die private Amazon ECR-Registrierung für Cross-Region innerhalb desselben AWS Kontos erstellt. Es gibt ein Repository-Präfix von `ecr`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `ecr/upstream-repository-name` hat. 

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr \
     --upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
     --region us-east-2
```

### Für Amazon ECR private Registrierung von einem anderen Konto AWS
<a name="w2aac28c27c11b7c17"></a>

Im folgenden Beispiel wird eine Pull-Through-Cache-Regel für die private Amazon ECR-Registrierung für Cross-Region innerhalb desselben AWS Kontos erstellt. Es gibt ein Repository-Präfix von `ecr`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `ecr/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) der IAM-Rolle mit den in [Eine Pull-Through-Cache-Regel in Amazon ECR erstellen](#pull-through-cache-creating-rule) erstellten Berechtigungen angeben.

```
aws ecr create-pull-through-cache-rule \
 --ecr-repository-prefix ecr \
 --upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
 --custom-role-arn arn:aws:iam::aws_account_id:role/example-role \
 --region us-east-2
```

### Für Chainguard Registry
<a name="w2aac28c27c11b7c19"></a>

Im folgenden Beispiel wird eine Pull-Through-Cacheregel für die Chainguard Registry erstellt. Es gibt ein Repository-Präfix von `chainguard`, was dazu führt, dass jedes Repository, das mit der Pull-Through-Cache-Regel erstellt wurde, das Benennungsschema von `chainguard/upstream-repository-name` hat. Sie müssen den vollständigen Amazon-Ressourcennamen (ARN) des Geheimnisses angeben, das Ihre Chainguard-Registrierungsdaten enthält.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix chainguard \
     --upstream-registry-url cgr.dev \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

## Nächste Schritte
<a name="pull-through-cache-creating-rule-next-steps"></a>

Nachdem Sie Ihre Pull-Through-Cache-Regeln erstellt haben, folgen die nächsten Schritte:
+ Erstellen Sie eine Repository-Erstellungsvorlage. Mit einer Repository-Erstellungsvorlage können Sie die Einstellungen für neue Repositorys festlegen, die von Amazon ECR in Ihrem Namen während einer Pull-Through-Cache-Aktion erstellt werden. Weitere Informationen finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).
+ Validieren Sie Ihre Pull-Through-Cache-Regeln. Bei der Validierung einer Pull-Through-Cache-Regel stellt Amazon ECR eine Netzwerkverbindung mit der Upstream-Registrierung her und überprüft, ob es auf das Secrets-Manager-Secret zugreifen kann, das die Anmeldeinformationen für die Upstream-Registrierung enthält, und ob die Authentifizierung erfolgreich war. Weitere Informationen finden Sie unter [Überprüfung der Pull-Through-Cache-Regeln in Amazon ECR](pull-through-cache-working-validating.md).
+ Verwenden Sie zunächst Ihre Pull-Through-Cache-Regeln. Weitere Informationen finden Sie unter [Ein Bild mit einer Pull-Through-Cache-Regel in Amazon ECR abrufen](pull-through-cache-working-pulling.md).

# Überprüfung der Pull-Through-Cache-Regeln in Amazon ECR
<a name="pull-through-cache-working-validating"></a>

Nachdem Sie eine Pull-Through-Cache-Regel erstellt haben, können Sie für Upstream-Registrierungen, die eine Authentifizierung erfordern, überprüfen, ob die Regel ordnungsgemäß funktioniert. Bei der Validierung einer Pull-Through-Cache-Regel stellt Amazon ECR eine Netzwerkverbindung mit der Upstream-Registrierung her, überprüft, ob es auf das Secrets Manager-Geheimnis zugreifen kann, das die Anmeldeinformationen für die Upstream-Registrierung enthält, und überprüft, ob die Authentifizierung erfolgreich war.

Bevor Sie mit der Arbeit mit Ihren Pull-Through-Cache-Regeln beginnen, stellen Sie sicher, dass Sie über die richtigen IAM-Berechtigungen verfügen. Weitere Informationen finden Sie unter [IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren](pull-through-cache-iam.md).

## So validieren Sie eine Pull-Through-Cache-Regel (AWS-Managementkonsole)
<a name="pull-through-cache-working-verifying-console"></a>

Die folgenden Schritte zeigen, wie Sie eine Pull-Through-Cache-Regel mit der Amazon-ECR-Konsole validieren.

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie auf der Navigationsleiste die Region aus, die die zu validierende Pull-Through-Cache-Regel enthält.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**, **Pull-Through-Cache**.

1. Wählen Sie auf der Seite **Pull-Through-Cache-Konfiguration** die zu validierende Pull-Through-Cache-Regel aus. Wählen Sie dann im Auswahlmenü **Aktionen** die Option **Details anzeigen** aus.

1. Wählen Sie auf der Detailseite für die Pull-Through-Cache-Regel das Auswahlmenü **Aktionen** aus und wählen Sie **Authentifizierung überprüfen** aus. Amazon ECR zeigt ein Banner mit dem Ergebnis an.

1. Wiederholen Sie diese Schritte für jede Pull-Through-Cache-Regel, die Sie validieren möchten.

## So validieren Sie eine Pull-Through-Cache-Regel (AWS CLI)
<a name="pull-through-cache-working-verifying-cli"></a>

Der AWS CLI Befehl [validate-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/validate-pull-through-cache-rule.html) wird verwendet, um eine Pull-Through-Cache-Regel für eine private Amazon ECR-Registrierung zu validieren. Im folgenden Beispiel wird das Namespace-Präfix `ecr-public` verwendet. Ersetzen Sie diesen Wert durch den Präfixwert für die zu validierende Pull-Through-Cache-Regel.

```
aws ecr validate-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --region us-east-2
```

In der Antwort gibt der Parameter `isValid` an, ob die Validierung erfolgreich war oder nicht. Falls der Wert `true` ist, konnte Amazon ECR die Upstream-Registrierung erreichen und die Authentifizierung war erfolgreich. Falls der Wert `false` ist, gab es ein Problem und die Validierung schlug fehl. Der Parameter `failure` gibt die Ursache an.

# Ein Bild mit einer Pull-Through-Cache-Regel in Amazon ECR abrufen
<a name="pull-through-cache-working-pulling"></a>

Die folgenden Beispiele zeigen die Befehlssyntax, die verwendet werden muss, wenn ein Image mithilfe einer Pull-Through-Cache-Regel abgerufen wird. Wenn Sie einen Fehler beim Abrufen eines Upstream-Images mit einer Pull-Through-Cache-Regel erhalten, lesen Sie [Behebung von Problemen mit dem Pull-Through-Cache in Amazon ECR](error-pullthroughcache.md) für die häufigsten Fehler und wie diese behoben werden können.

Bevor Sie mit der Arbeit mit Ihren Pull-Through-Cache-Regeln beginnen, stellen Sie sicher, dass Sie über die richtigen IAM-Berechtigungen verfügen. Weitere Informationen finden Sie unter [IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren](pull-through-cache-iam.md).

**Anmerkung**  
Die folgenden Beispiele verwenden die standardmäßigen Amazon ECR-Repository-Namespace-Werte, die AWS-Managementkonsole von verwendet werden. Stellen Sie sicher, dass Sie den von Ihnen konfigurierten Amazon-ECR-Repository-URI verwenden.

## Für Amazon ECR Public
<a name="w2aac28c31b9b1"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/ecr-public/repository_name/image_name:tag
```

## Kubernetes Container Registry
<a name="w2aac28c31b9b3"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/kubernetes/repository_name/image_name:tag
```

## Quay
<a name="w2aac28c31b9b5"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/quay/repository_name/image_name:tag
```

## Docker Hub
<a name="w2aac28c31b9b7"></a>

Für offizielle Docker-Hub-Images:

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag
```

**Anmerkung**  
Für offizielle Docker-Hub-Images muss das Präfix `/library` enthalten sein. Für alle anderen Docker-Hub-Repositorys sollten Sie das Präfix `/library` weglassen.

Für alle anderen Docker-Hub-Images:

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/repository_name/image_name:tag
```

## GitHub Container-Registrierung
<a name="w2aac28c31b9b9"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/github/repository_name/image_name:tag
```

## Microsoft Azure Container Registry
<a name="w2aac28c31b9c11"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/azure/repository_name/image_name:tag
```

## GitLab Container-Registrierung
<a name="w2aac28c31b9c13"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/gitlab/repository_name/image_name:tag
```

## Chainguard-Register
<a name="w2aac28c31b9c15"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/chainguard/repository_name/image_name:tag
```

# Speichern Sie Ihre Upstream-Repository-Anmeldeinformationen geheim AWS Secrets Manager
<a name="pull-through-cache-creating-secret"></a>

Wenn Sie eine Pull-Through-Cache-Regel für ein Upstream-Repository erstellen, das eine Authentifizierung erfordert, müssen Sie die Anmeldeinformationen in einem Secrets-Manager-Secret speichern. Für die Verwendung eines Secrets-Manager-Secrets können Kosten anfallen. Weitere Informationen finden Sie unter [AWS Secrets Manager Preise](https://aws.amazon.com/secrets-manager/pricing/).

Die folgenden Verfahren führen Sie Schritt für Schritt durch die Erstellung eines Secrets-Manager-Secrets für jedes unterstützte Upstream-Repository. Sie können optional den Workflow zum Erstellen einer Pull-Through-Cache-Regel in der Amazon-ECR-Konsole verwenden, um das Secret zu erstellen, anstatt das Secret mit der Secrets-Manager-Konsole zu erstellen. Weitere Informationen finden Sie unter [Eine Pull-Through-Cache-Regel in Amazon ECR erstellen](pull-through-cache-creating-rule.md).

------
#### [ Docker Hub ]

**So erstellen Sie ein Secrets-Manager-Secret für Ihre Anmeldeinformationen für Docker Hub (AWS-Managementkonsole)**So erstellen Sie ein Secrets-Manager-Secret (AWS-Managementkonsole)

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).

1. Führen Sie auf der Seite **Secret-Typ auswählen** die folgenden Schritte aus.

   1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.

   1. Erstellen Sie in **Schlüssel/Wert-Paaren** zwei Zeilen für Ihre Anmeldeinformationen für Docker Hub. Sie können bis zu 65536 Bytes im Secret speichern.

      1. Geben Sie für das erste key/value Paar `username` als Schlüssel und Ihren Docker Hub-Benutzernamen als Wert an.

      1. Geben Sie für das zweite key/value Paar `accessToken` als Schlüssel und Ihr Docker Hub-Zugriffstoken als Wert an. Weitere Informationen zum Erstellen eines Docker-Hub-Zugriffstokens finden Sie unter [Zugriffstoken erstellen und verwalten](https://docs.docker.com/security/for-developers/access-tokens/) in der Docker-Dokumentation.

   1. Behalten Sie für den **Verschlüsselungsschlüssel** den AWS KMS key -Standardwert **aws/secretsmanager** bei und wählen Sie dann **Weiter**. Für die Verwendung dieses Schlüssels fallen keine Kosten an. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Verschlüsselung und Entschlüsselung von Secrets im Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
**Wichtig**  
Sie müssen den Standard-Verschlüsselungsschlüssel `aws/secretsmanager` verwenden, um Ihr Secret zu verschlüsseln. Amazon ECR unterstützt dafür nicht die Verwendung eines kundenseitig verwalteten Schlüssels (CMK).

1. Führen Sie auf der Seite **Secret konfigurieren** die folgenden Schritte aus.

   1. Geben Sie einen beschreibenden **Secret-Namen** und eine **Beschreibung** ein. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten und mit dem Präfix `ecr-pullthroughcache/` versehen sein.
**Wichtig**  
Der Amazon ECR zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden.

   1. (Optional) Im Abschnitt **Tags** können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter [Tagging von Secrets-Manager-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *Benutzerhandbuch von AWS Secrets Manager *. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

   1. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter **Resource permissions (Ressourcenberechtigungen)** die Option **Edit permissions (Berechtigungen bearbeiten)** aus. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets-Manager-Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

   1. **(Optional) Um Ihr **Geheimnis auf ein anderes zu replizieren**, wählen Sie unter Geheimnis replizieren die Option Geheimnis AWS-Region replizieren aus.** Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter [Ein Secret an anderen Regionen replizieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *.

   1. Wählen Sie **Weiter** aus.

1. (Optional) Auf der Seite **Rotation konfigurieren** können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter [Secrets-Manager-Secrets rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Review (Prüfen)** die Secret-Details und wählen Sie **Store (Speichern)**.

   Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

------
#### [ GitHub Container Registry ]

**Um ein Secrets Manager Manager-Geheimnis für Ihre GitHub Container Registry-Anmeldeinformationen zu erstellen (AWS-Managementkonsole)**So erstellen Sie ein Secrets-Manager-Secret (AWS-Managementkonsole)

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).

1. Führen Sie auf der Seite **Secret-Typ auswählen** die folgenden Schritte aus.

   1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.

   1. Erstellen Sie in **Schlüssel/Wert-Paaren** zwei Zeilen für Ihre GitHub Anmeldeinformationen. Sie können bis zu 65536 Bytes im Secret speichern.

      1. Geben Sie für das erste key/value Paar `username` als Schlüssel und Ihren GitHub Benutzernamen als Wert an.

      1. Geben Sie für das zweite key/value Paar `accessToken` als Schlüssel und Ihr GitHub Zugriffstoken als Wert an. Weitere Informationen zum Erstellen eines GitHub Zugriffstokens finden Sie in der GitHub Dokumentation unter [Verwaltung Ihrer persönlichen Zugriffstoken](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens).

   1. Behalten Sie für den **Verschlüsselungsschlüssel** den AWS KMS key -Standardwert **aws/secretsmanager** bei und wählen Sie dann **Weiter**. Für die Verwendung dieses Schlüssels fallen keine Kosten an. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Verschlüsselung und Entschlüsselung von Secrets im Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
**Wichtig**  
Sie müssen den Standard-Verschlüsselungsschlüssel `aws/secretsmanager` verwenden, um Ihr Secret zu verschlüsseln. Amazon ECR unterstützt dafür nicht die Verwendung eines kundenseitig verwalteten Schlüssels (CMK).

1. Führen Sie auf der Seite **Configure secret** (Secret konfigurieren) die folgenden Schritte aus:

   1. Geben Sie einen beschreibenden **Secret-Namen** und eine **Beschreibung** ein. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten und mit dem Präfix `ecr-pullthroughcache/` versehen sein.
**Wichtig**  
Der Amazon ECR zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden.

   1. (Optional) Im Abschnitt **Tags** können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter [Tagging von Secrets-Manager-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *Benutzerhandbuch von AWS Secrets Manager *. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

   1. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter **Resource permissions (Ressourcenberechtigungen)** die Option **Edit permissions (Berechtigungen bearbeiten)** aus. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets-Manager-Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

   1. **(Optional) Um Ihr **Geheimnis auf ein anderes zu replizieren**, wählen Sie unter Geheimnis replizieren die Option Geheimnis AWS-Region replizieren aus.** Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter [Ein Secret an anderen Regionen replizieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *.

   1. Wählen Sie **Weiter** aus.

1. (Optional) Auf der Seite **Rotation konfigurieren** können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter [Secrets-Manager-Secrets rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Review (Prüfen)** die Secret-Details und wählen Sie **Store (Speichern)**.

   Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

------
#### [ Microsoft Azure Container Registry ]

**So erstellen Sie ein Secrets-Manager-Secret für Ihre Anmeldeinformationen für die Microsoft Azure Container Registry (AWS-Managementkonsole)**So erstellen Sie ein Secrets-Manager-Secret (AWS-Managementkonsole)

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).

1. Führen Sie auf der Seite **Secret-Typ auswählen** die folgenden Schritte aus.

   1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.

   1. Erstellen Sie in **Schlüssel/Wert-Paaren** zwei Zeilen für Ihre Anmeldeinformationen für Microsoft Azure. Sie können bis zu 65536 Bytes im Secret speichern.

      1. Geben Sie für das erste key/value Paar `username` als Schlüssel und Ihren Microsoft Azure Container Registry-Benutzernamen als Wert an.

      1. Geben Sie für das zweite key/value Paar `accessToken` als Schlüssel und Ihr Microsoft Azure Container Registry-Zugriffstoken als Wert an. Weitere Informationen zum Erstellen eines Zugriffstokens für Microsoft Azure finden unter [Token erstellen – Portal](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) in der Microsoft Azure-Dokumentation.

   1. Behalten Sie für den **Verschlüsselungsschlüssel** den AWS KMS key -Standardwert **aws/secretsmanager** bei und wählen Sie dann **Weiter**. Für die Verwendung dieses Schlüssels fallen keine Kosten an. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Verschlüsselung und Entschlüsselung von Secrets im Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
**Wichtig**  
Sie müssen den Standard-Verschlüsselungsschlüssel `aws/secretsmanager` verwenden, um Ihr Secret zu verschlüsseln. Amazon ECR unterstützt dafür nicht die Verwendung eines kundenseitig verwalteten Schlüssels (CMK).

1. Führen Sie auf der Seite **Configure secret** (Secret konfigurieren) die folgenden Schritte aus:

   1. Geben Sie einen beschreibenden **Secret-Namen** und eine **Beschreibung** ein. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten und mit dem Präfix `ecr-pullthroughcache/` versehen sein.
**Wichtig**  
Der Amazon ECR zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden.

   1. (Optional) Im Abschnitt **Tags** können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter [Tagging von Secrets-Manager-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *Benutzerhandbuch von AWS Secrets Manager *. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

   1. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter **Resource permissions (Ressourcenberechtigungen)** die Option **Edit permissions (Berechtigungen bearbeiten)** aus. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets-Manager-Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

   1. **(Optional) Um Ihr **Geheimnis auf ein anderes zu replizieren**, wählen Sie unter Geheimnis replizieren die Option Geheimnis AWS-Region replizieren aus.** Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter [Ein Secret an anderen Regionen replizieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *.

   1. Wählen Sie **Weiter** aus.

1. (Optional) Auf der Seite **Rotation konfigurieren** können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter [Secrets-Manager-Secrets rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Review (Prüfen)** die Secret-Details und wählen Sie **Store (Speichern)**.

   Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

------
#### [ GitLab Container Registry ]

**Um ein Secrets Manager Manager-Geheimnis für Ihre GitLab Container Registry-Anmeldeinformationen zu erstellen (AWS-Managementkonsole)**So erstellen Sie ein Secrets-Manager-Secret (AWS-Managementkonsole)

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).

1. Führen Sie auf der Seite **Secret-Typ auswählen** die folgenden Schritte aus.

   1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.

   1. Erstellen Sie in **Schlüssel/Wert-Paaren** zwei Zeilen für Ihre GitLab Anmeldeinformationen. Sie können bis zu 65536 Bytes im Secret speichern.

      1. Geben Sie für das erste key/value Paar `username` als Schlüssel und Ihren GitLab Container Registry-Benutzernamen als Wert an.

      1. Geben Sie für das zweite key/value Paar `accessToken` als Schlüssel und Ihr GitLab Container Registry-Zugriffstoken als Wert an. Weitere Informationen zur Erstellung eines [Zugriffstokens für die GitLab Container Registry finden Sie in der GitLab Dokumentation unter Persönliche](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html) [Zugriffstoken, Gruppenzugriffstoken](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html) [oder Projektzugriffstoken](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html).

   1. Behalten Sie für den **Verschlüsselungsschlüssel** den AWS KMS key -Standardwert **aws/secretsmanager** bei und wählen Sie dann **Weiter**. Für die Verwendung dieses Schlüssels fallen keine Kosten an. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Verschlüsselung und Entschlüsselung von Secrets im Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
**Wichtig**  
Sie müssen den Standard-Verschlüsselungsschlüssel `aws/secretsmanager` verwenden, um Ihr Secret zu verschlüsseln. Amazon ECR unterstützt dafür nicht die Verwendung eines kundenseitig verwalteten Schlüssels (CMK).

1. Führen Sie auf der Seite **Configure secret** (Secret konfigurieren) die folgenden Schritte aus:

   1. Geben Sie einen beschreibenden **Secret-Namen** und eine **Beschreibung** ein. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten und mit dem Präfix `ecr-pullthroughcache/` versehen sein.
**Wichtig**  
Der Amazon ECR zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden.

   1. (Optional) Im Abschnitt **Tags** können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter [Tagging von Secrets-Manager-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *Benutzerhandbuch von AWS Secrets Manager *. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

   1. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter **Resource permissions (Ressourcenberechtigungen)** die Option **Edit permissions (Berechtigungen bearbeiten)** aus. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets-Manager-Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

   1. **(Optional) Um Ihr **Geheimnis auf ein anderes zu replizieren**, wählen Sie unter Geheimnis replizieren die Option Geheimnis AWS-Region replizieren aus.** Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter [Ein Secret an anderen Regionen replizieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *.

   1. Wählen Sie **Weiter** aus.

1. (Optional) Auf der Seite **Rotation konfigurieren** können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter [Secrets-Manager-Secrets rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Review (Prüfen)** die Secret-Details und wählen Sie **Store (Speichern)**.

   Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

------
#### [ Chainguard Registry ]

**Um ein Secrets Manager Manager-Geheimnis für Ihre Chainguard-Anmeldeinformationen zu erstellen ()AWS-Managementkonsole**So erstellen Sie ein Secrets-Manager-Secret (AWS-Managementkonsole)

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).

1. Führen Sie auf der Seite **Secret-Typ auswählen** die folgenden Schritte aus.

   1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.

   1. Erstellen Sie in **Schlüssel/Wert-Paaren** zwei Zeilen für Ihre Chainguard-Anmeldeinformationen. Sie können bis zu 65536 Bytes im Secret speichern.

      1. Geben Sie für das erste key/value Paar `username` als Schlüssel und Ihren Chainguard Registry-Benutzernamen als Wert an.

      1. Geben Sie für das zweite key/value Paar `accessToken` als Schlüssel und Ihr Chainguard Registry-Zugriffstoken als Wert an. Weitere Informationen zum Erstellen eines Chainguard Registry-Pull-Tokens finden Sie unter [Authentifizierung mit einem Pull-Token in der Chainguard-Dokumentation](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token).

   1. Behalten Sie für den **Verschlüsselungsschlüssel** den AWS KMS key -Standardwert **aws/secretsmanager** bei und wählen Sie dann **Weiter**. Für die Verwendung dieses Schlüssels fallen keine Kosten an. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Verschlüsselung und Entschlüsselung von Secrets im Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
**Wichtig**  
Sie müssen den Standard-Verschlüsselungsschlüssel `aws/secretsmanager` verwenden, um Ihr Secret zu verschlüsseln. Amazon ECR unterstützt dafür nicht die Verwendung eines kundenseitig verwalteten Schlüssels (CMK).

1. Führen Sie auf der Seite **Configure secret** (Secret konfigurieren) die folgenden Schritte aus:

   1. Geben Sie einen beschreibenden **Secret-Namen** und eine **Beschreibung** ein. Secret-Namen müssen 1–512 Unicode-Zeichen enthalten und mit dem Präfix `ecr-pullthroughcache/` versehen sein.
**Wichtig**  
Der Amazon ECR zeigt AWS-Managementkonsole nur Secrets Manager Manager-Geheimnisse an, deren Namen das `ecr-pullthroughcache/` Präfix verwenden.

   1. (Optional) Im Abschnitt **Tags** können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter [Tagging von Secrets-Manager-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) im *Benutzerhandbuch von AWS Secrets Manager *. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

   1. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter **Resource permissions (Ressourcenberechtigungen)** die Option **Edit permissions (Berechtigungen bearbeiten)** aus. Weitere Informationen finden Sie im *Benutzerhandbuch von AWS Secrets Manager * unter [Anhängen einer Berechtigungsrichtlinie an ein Secrets-Manager-Secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

   1. **(Optional) Um Ihr **Geheimnis auf ein anderes zu replizieren**, wählen Sie unter Geheimnis replizieren die Option Geheimnis AWS-Region replizieren aus.** Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter [Ein Secret an anderen Regionen replizieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *.

   1. Wählen Sie **Weiter** aus.

1. (Optional) Auf der Seite **Rotation konfigurieren** können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter [Secrets-Manager-Secrets rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) im *Benutzerhandbuch von AWS Secrets Manager *. Wählen Sie **Weiter** aus.

1. Prüfen Sie auf der Seite **Review (Prüfen)** die Secret-Details und wählen Sie **Store (Speichern)**.

   Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

------

# Anpassen der Repository-Präfixe für den ECR- und ECR-Pull-Through-Cache
<a name="pull-through-cache-private-wildcards"></a>

Pull-Through-Cache-Regeln unterstützen sowohl das **ECR-Repository-Präfix** als auch das **Upstream-Repository-Präfix**. Das **ECR-Repository-Präfix** ist das Repository-Namespace-Präfix in der Amazon ECR-Cache-Registry, das der Regel zugeordnet ist. Alle Repositorys, die dieses Präfix verwenden, werden zu Pull Through-Cache-fähigen Repositorys für die in der Regel definierte Upstream-Registry. Ein Präfix von `prod` gilt beispielsweise für alle Repositorys, die mit beginnen. `prod/` Um eine Vorlage auf alle Repositorys in Ihrer Registrierung anzuwenden, denen keine Pull-Through-Cache-Regel zugeordnet ist, verwenden Sie `ROOT` als Präfix.

**Wichtig**  
Es wird immer ein `/` am Ende des Präfixes angenommen. Wenn Sie `ecr-public` als Präfix angeben, behandelt Amazon ECR dies als `ecr-public/`.

Das **Upstream-Repository-Präfix** entspricht dem Namen des Upstream-Repositorys. Standardmäßig ist es auf gesetzt`ROOT`, was den Abgleich mit jedem Upstream-Repository ermöglicht. Sie können das **Upstream-Repository-Präfix** nur festlegen, wenn das Amazon ECR-Repository-Präfix keinen `ROOT` Wert hat.

Die folgende Tabelle zeigt die Zuordnung zwischen Cache-Repository-Namen und Upstream-Repository-Namen auf der Grundlage ihrer Präfixkonfigurationen in den Pull-Through-Cache-Regeln.


|  Cache-Namespace  |  Upstream-Namespace  |  Beziehung zuordnen (Cache-Repository → Upstream-Repository)  | 
| --- | --- | --- | 
|  ecr-public  |  ROOT (Standard)  |  `ecr-public/my-app/image1` → `my-app/image1` `ecr-public/my-app/image2` → `my-app/image2`  | 
|  WURZEL  |  WURZEL  |  `my-app/image1` → `my-app/image1`  | 
|  Team-A  |  Team-a  |  `team-a/myapp/image1` → `team-a/myapp/image1`  | 
|  meine App  |  Upstream-Anwendung  |  `my-app/image1` → `upstream-app/image1`  | 

# Behebung von Problemen mit dem Pull-Through-Cache in Amazon ECR
<a name="error-pullthroughcache"></a>

Beim Abrufen eines Upstream-Image mit einer Pull-Through-Cache-Regel sind die folgenden Fehler die häufigsten Fehler, die Sie möglicherweise erhalten könnten.

**Das Repository ist nicht vorhanden**  
Ein Fehler, der darauf hinweist, dass das Repository nicht existiert, wird meistens entweder dadurch verursacht, dass das Repository nicht in Ihrer privaten Amazon ECR-Registrierung vorhanden ist, oder dadurch, dass dem IAM-Prinzipal, der das Upstream-Image abruft, keine `ecr:CreateRepository`-Berechtigung erteilt wird. Um diesen Fehler zu beheben, sollten Sie überprüfen, ob der Repository-URI in Ihrem Pull-Befehl korrekt ist, dem IAM-Prinzipal, der das Upstream-Image abruft, die erforderlichen IAM-Berechtigungen erteilt werden, oder dass das Repository, an das das Upstream-Image verschoben werden soll, in Ihrer privaten Amazon ECR-Registrierung erstellt wird, bevor Sie das Upstream-Image abrufen. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter [IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren](pull-through-cache-iam.md).  
Es folgt ein Beispiel dieses Fehlers.  

```
Error response from daemon: repository 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux not found: name unknown: The repository with name 'ecr-public/amazonlinux/amazonlinux' does not exist in the registry with id '111122223333'
```

**Das angeforderte Bild wurde nicht gefunden**  
Ein Fehler, der angibt, dass das Image nicht gefunden werden kann, wird am häufigsten dadurch verursacht, dass das Image nicht in der Upstream-Registrierung vorhanden ist, oder dadurch, dass dem IAM-Prinzipal, der das Upstream-Image abruft, keine `ecr:BatchImportUpstreamImage`-Berechtigung erteilt wird, während jedoch das Repository bereits in Ihrer privaten Amazon ECR-Registrierung erstellt wird. Um diesen Fehler zu beheben, sollten Sie überprüfen, ob der Name des Upstream-Image und des Image-Tags korrekt sind und dass der IAM-Prinzipal, der das Upstream-Image abruft, die erforderlichen IAM-Berechtigungen erteilt werden. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter [IAM-Berechtigungen sind erforderlich, um eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung zu synchronisieren](pull-through-cache-iam.md).  
Es folgt ein Beispiel dieses Fehlers.  

```
Error response from daemon: manifest for 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest not found: manifest unknown: Requested image not found
```

**403 Verboten beim Abrufen aus einem Docker Hub-Repository**  
Wenn Sie aus einem Docker-Hub-Repository abrufen, das als **offizielles Docker-Image** gekennzeichnet ist, müssen Sie die `/library/` in der von Ihnen verwendeten URI angeben. Beispiel, `aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag`. Wenn Sie die Option `/library/` für offizielle Docker Hub-Images weglassen, wird ein `403 Forbidden` Fehler zurückgegeben, wenn Sie versuchen, das Image mithilfe einer Pull-Through-Cache-Regel abzurufen. Weitere Informationen finden Sie unter [Ein Bild mit einer Pull-Through-Cache-Regel in Amazon ECR abrufen](pull-through-cache-working-pulling.md).  
Es folgt ein Beispiel dieses Fehlers.  

```
Error response from daemon: failed to resolve reference "111122223333.dkr.ecr.us-west-2.amazonaws.com/docker-hub/amazonlinux:2023": pulling from host 111122223333.dkr.ecr.us-west-2.amazonaws.com failed with status code [manifests 2023]: 403 Forbidden
```