Erteilen von Registrierungsberechtigungen für die kontoübergreifende Replikation in Amazon ECR - Amazon ECR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Registrierungsberechtigungen für die kontoübergreifende Replikation in Amazon ECR

Der kontoübergreifende Richtlinientyp wird verwendet, um einem AWS -Prinzipal Berechtigungen zu erteilen und die Replikation der Repositorys von einer Quellregistrierung in Ihre Registrierung zu ermöglichen. Standardmäßig haben Sie die Berechtigung, die regionenübergreifende Replikation innerhalb Ihrer eigenen Registrierung zu konfigurieren. Sie müssen die Registrierungsrichtlinie nur konfigurieren, wenn Sie einem anderen Konto die Berechtigung erteilen, Inhalte in Ihre Registrierung zu replizieren.

Eine Registrierungsrichtlinie muss die Genehmigung für die ecr:ReplicateImage API Aktion erteilen. Dies API ist ein internes Amazon ECRAPI, das Bilder zwischen Regionen oder Konten replizieren kann. Sie können auch eine Genehmigung für die ecr:CreateRepository Genehmigung erteilen, sodass Amazon ECR Repositorys in Ihrer Registrierung erstellen kann, falls diese noch nicht vorhanden sind. Wenn die Berechtigung ecr:CreateRepository nicht vorhanden ist, muss ein Repository mit demselben Namen wie das Quell-Repository manuell in Ihrer Registrierung erstellt werden. Wenn dies nicht geschieht, schlägt die Replikation fehl. Alle fehlgeschlagenen ReplicateImage API Aktionen CreateRepository oder Aktionen werden in CloudTrail angezeigt.

  1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

  2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre Registrierungsrichtlinie konfigurieren möchten.

  3. Wählen Sie im Navigationsbereich Private Registrierung, Registrierungsberechtigungen aus.

  4. Wählen Sie auf der Seite Registrierungsberechtigungen die Option Anweisung generieren aus.

  5. Führen Sie die folgenden Schritte aus, um Ihre Richtlinie mit Hilfe des Richtliniengenerators zu definieren.

    1. Wählen Sie als Richtlinientyp die Option Kontoübergreifende Richtlinie.

    2. Geben Sie für Auszugs-ID eine eindeutige Auszugs-ID ein. Dieses Feld wird als Sid für die Registrierungsrichtlinie verwendet.

    3. Geben Sie unter Konten das Konto IDs für jedes Konto ein, für das Sie Berechtigungen erteilen möchten. Wenn Sie mehrere Konten angebenIDs, trennen Sie diese durch ein Komma.

  6. Erweitern Sie den Abschnitt Richtlinienvorschau, um die Richtlinie für Registrierungsberechtigungen zu überprüfen.

  7. Nachdem Sie die Richtlinie bestätigt haben, wählen Sie Zu Richtlinie hinzufügen, um die Richtlinie in Ihrer Registrierung zu speichern.

  1. Erstellen Sie eine Datei mit dem Namen registry_policy.json und füllen Sie sie mit einer Registrierungsrichtlinie.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Erstellen Sie die Registrierungsrichtlinie mithilfe der Richtliniendatei.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Rufen Sie die Richtlinie für Ihre Registry zur Bestätigung ab.

    aws ecr get-registry-policy \
      --region us-west-2