Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

VPC-Endpunkte mit Amazon ECR-Schnittstelle ()AWS PrivateLink

Fokusmodus
VPC-Endpunkte mit Amazon ECR-Schnittstelle ()AWS PrivateLink - Amazon ECR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können die Sicherheit Ihrer VPC verbessern, indem Sie Amazon ECR so konfigurieren, dass es einen Schnittstellen-VPC-Endpunkt verwendet. VPC-Endgeräte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat über private IP-Adressen auf Amazon ECR APIs zugreifen können. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECR auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.

Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter VPC-Endpunkte im Amazon VPC-Benutzerhandbuch.

Überlegungen für Amazon ECR VPC-Endpunkte

Bevor Sie VPC-Endpunkte für Amazon ECR konfigurieren, sollten Sie die folgenden Punkte beachten.

  • Damit Ihre auf EC2 Amazon-Instances gehosteten Amazon ECS-Aufgaben private Images von Amazon ECR abrufen können, erstellen Sie die VPC-Endpunkte der Schnittstelle für Amazon ECS. Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon Elastic Container Service Developer Guide.

  • Amazon ECS-Aufgaben, die auf Fargate gehostet werden und Container-Images von Amazon ECR beziehen, können den Zugriff auf die spezifische VPC, die ihre Aufgaben verwenden, und auf den VPC-Endpunkt, den der Dienst verwendet, beschränken, indem sie der IAM-Rolle für die Aufgabenausführung Bedingungsschlüssel hinzufügen. Weitere Informationen finden Sie unter Optionale IAM-Berechtigungen für Fargate-Aufgaben, die Amazon ECR-Images über Schnittstellenendpunkte abrufen im Amazon Elastic Container Service Entwicklerleitfaden.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.

  • VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihre VPC-Endpunkte in derselben Region erstellen, in der Sie Ihre API-Aufrufe an Amazon ECR tätigen möchten.

  • VPC-Endpunkte unterstützen derzeit keine öffentlichen Amazon-ECR-Repositorys. Erwägen Sie die Verwendung einer Pull-Through-Cache-Regel, um das öffentliche Image in einem privaten Repository in derselben Region wie der VPC-Endpunkt zu hosten. Weitere Informationen finden Sie unter Synchronisieren Sie eine Upstream-Registrierung mit einer ECR privaten Amazon-Registrierung.

  • VPC-Endpunkte unterstützen nur AWS bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Wenn Ihre Container über bestehende Verbindungen zu Amazon S3 verfügen, werden deren Verbindungen möglicherweise kurz unterbrochen, wenn Sie den Amazon S3-Gateway-Endpunkt hinzufügen. Wenn Sie diese Unterbrechung vermeiden möchten, erstellen Sie eine neue VPC, die den Amazon S3-Gateway-Endpunkt verwendet, und migrieren Sie dann Ihren Amazon ECS-Cluster und seine Container in die neue VPC.

  • Wenn ein Image zum ersten Mal mit einer Pull-Through-Cache-Regel abgerufen wird und Sie Amazon ECR für die Verwendung eines Schnittstellen-VPC-Endpunkts mit AWS PrivateLink konfiguriert haben, müssen Sie in derselben VPC ein öffentliches Subnetz mit einem NAT-Gateway erstellen und leiten Sie dann den gesamten ausgehenden Datenverkehr von ihrem privaten Subnetz ins Internet zum NAT-Gateway, damit der Abruf funktioniert. Nachfolgende Image-Abrufe erfordern dies nicht. Weitere Informationen finden Sie unter Szenario: Zugriff auf das Internet aus einem privaten Subnetz im Benutzerhandbuch für Amazon Virtual Private Cloud.

Überlegungen für Windows-Images

Images, die auf dem Windows-Betriebssystem basieren, enthalten Artefakte, die aufgrund von Lizenzbeschränkungen nicht weitergegeben werden dürfen. Wenn Sie Windows-Images in ein Amazon ECR-Repository übertragen, werden die Ebenen, die diese Artefakte enthalten, standardmäßig nicht übertragen, da sie als Fremdebenen betrachtet werden. Wenn die Artefakte von Microsoft bereitgestellt werden, werden die fremden Schichten von der Microsoft Azure-Infrastruktur abgerufen. Aus diesem Grund sind neben der Erstellung der VPC-Endpunkte weitere Schritte erforderlich, damit Ihre Container diese fremden Schichten von Azure beziehen können.

Es ist möglich, dieses Verhalten beim Pushen von Windows-Images auf Amazon ECR durch Verwendung des --allow-nondistributable-artifacts-Flags im Docker-Daemon außer Kraft zu setzen. Wenn dieses Flag aktiviert ist, werden die lizenzierten Ebenen zu Amazon ECR gepusht, wodurch diese Images von Amazon ECR über den VPC-Endpunkt abgerufen werden können, ohne dass ein zusätzlicher Zugriff auf Azure erforderlich ist.

Wichtig

Die Verwendung des --allow-nondistributable-artifacts-Flags entbindet Sie nicht von der Verpflichtung, die Bedingungen der Windows-Container-Basis-Image-Lizenz einzuhalten; Sie können keine Windows-Inhalte für die öffentliche Weitergabe oder die Weitergabe durch Dritte bereitstellen. Die Verwendung in Ihrer eigenen Umgebung ist erlaubt.

Um die Verwendung dieses Flags für Ihre Docker-Installation zu aktivieren, müssen Sie die Docker-Daemon-Konfigurationsdatei ändern, die je nach Docker-Installation in der Regel in den Einstellungen oder im Menü "Präferenzen" unter dem Abschnitt "Docker-Engine" oder durch direkte Bearbeitung der C:\ProgramData\docker\config\daemon.json-Datei konfiguriert werden kann.

Im Folgenden finden Sie ein Beispiel für die erforderliche Konfiguration. Ersetzen Sie den Wert durch den Repository-URI, an den Sie die Images weitergeben möchten.

{ "allow-nondistributable-artifacts": [ "111122223333.dkr.ecr.us-west-2.amazonaws.com" ] }

Nachdem Sie die Konfigurationsdatei des Docker-Daemon geändert haben, müssen Sie den Docker-Daemon neu starten, bevor Sie versuchen, Ihr Image zu übertragen. Bestätigen Sie, dass der Push funktioniert hat, indem Sie überprüfen, ob die Basisebene in Ihr Repository gepusht wurde.

Anmerkung

Die Basisebenen für Windows-Images sind groß. Die Größe der Ebene führt zu einer längeren Push-Zeit und zusätzlichen Speicherkosten in Amazon ECR für diese Images. Aus diesen Gründen empfehlen wir, diese Option nur dann zu nutzen, wenn sie unbedingt erforderlich ist, um die Bauzeit und die laufenden Lagerkosten zu reduzieren. Das mcr.microsoft.com/windows/servercore-Image ist beispielsweise etwa 1,7 GiB groß, wenn es in Amazon ECR komprimiert wird.

Erstellen der VPC Endpunkte für Amazon ECR

Um die VPC-Endpunkte für den Amazon ECR-Service zu erstellen, verwenden Sie das Verfahren Erstellung eines Interface-Endpunktes im Amazon VPC Benutzerhandbuch.

Amazon ECS-Aufgaben, die auf EC2 Amazon-Instances gehostet werden, erfordern sowohl Amazon ECR-Endpunkte als auch den Amazon S3-Gateway-Endpunkt.

Für Amazon ECS-Aufgaben, die auf Fargate mit der Plattformversion 1.4.0 oder höher gehostet werden, sind sowohl Amazon ECR VPC-Endpunkte als auch die Amazon S3-Gateway-Endpunkte erforderlich.

Auf Fargate gehostete Amazon ECS-Aufgaben, die die Plattformversion 1.3.0 oder eine frühere Version verwenden, benötigen nur die Datei com.amazonaws. region.ecr.dkr Amazon ECR VPC-Endpunkt und Amazon S3 S3-Gateway-Endpunkte.

Anmerkung

Die Reihenfolge, in der die Endpunkte erstellt werden, ist unerheblich.

com.amazonaws. region.ecr.dkr

Dieser Endpunkt wird für die Docker Registry verwendet. APIs Docker-Client-Befehle wie push und pull verwenden diesen Endpunkt.

Wenn Sie diesen Endpunkt erstellen, müssen Sie einen privaten DNS-Hostnamen aktivieren. Stellen Sie dazu sicher, dass die Option Privaten DNS-Namen aktivieren in der Amazon VPC-Konsole ausgewählt ist, wenn Sie den VPC-Endpunkt erstellen.

com.amazonaws. region.ecr.api
Anmerkung

Der angegebene region Wert steht für die Regionskennung für eine AWS Region, die von Amazon ECR unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio).

Dieser Endpunkt wird für Aufrufe an die Amazon ECR-API verwendet. API-Aktionen wie DescribeImages und CreateRepository betreffen diesen Endpunkt.

Wenn dieser Endpunkt erstellt wird, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Aktivieren Sie diese Einstellung, indem Sie Privaten DNS-Namen aktivieren in der VPC-Konsole auswählen, wenn Sie den VPC-Endpunkt erstellen. Wenn Sie einen privaten DNS-Hostnamen für den VPC-Endpunkt aktivieren, aktualisieren Sie Ihr SDK oder AWS CLI auf die neueste Version, sodass die Angabe einer Endpunkt-URL bei der Verwendung des SDK oder AWS CLI nicht erforderlich ist.

Wenn Sie einen privaten DNS-Hostnamen aktivieren und ein SDK oder eine AWS CLI Version verwenden, die vor dem 24. Januar 2019 veröffentlicht wurde, müssen Sie den --endpoint-url Parameter verwenden, um die Schnittstellenendpunkte anzugeben. Das folgende Beispiel zeigt das Format für die Endpunkt-URL.

aws ecr create-repository --repository-name name --endpoint-url https://api.ecr.region.amazonaws.com

Wenn Sie keinen privaten DNS-Hostnamen für den VPC-Endpunkt aktivieren, müssen Sie den --endpoint-url-Parameter verwenden und die VPC-Endpunkt-ID für den Schnittstellenendpunkt angeben. Das folgende Beispiel zeigt das Format für die Endpunkt-URL.

aws ecr create-repository --repository-name name --endpoint-url https://VPC_endpoint_ID.api.ecr.region.vpce.amazonaws.com

Erstellen Sie den Amazon S3-Gateway-Endpunkt

Damit Ihre Amazon ECS-Aufgaben private Images der von Amazon ECR abrufen können, müssen Sie einen Gateway-Endpunkt für Amazon S3 erstellen. Der Gateway-Endpunkt ist erforderlich, da Amazon ECR Amazon S3 zum Speichern Ihrer Image-Ebenen verwendet. Wenn Ihre Container-Images von Amazon ECR herunterladen, müssen sie auf Amazon ECR zugreifen, um das Image-Manifest zu erhalten, und dann auf Amazon S3, um die eigentlichen Image-Ebenen herunterzuladen. Nachfolgend ist der Amazon Resource Name (ARN) des Amazon S3-Buckets angegeben, der die Ebenen für jedes Docker-Image enthält.

arn:aws:s3:::prod-region-starport-layer-bucket/*

Verwenden Sie das Verfahren Erstellen eines Gateway-Endpunkts im Amazon VPC Benutzerhandbuch, um den folgenden Amazon S3-Gateway-Endpunkt für Amazon ECR zu erstellen. Achten Sie bei der Erstellung des Endpunkts darauf, dass Sie die Route-Tabellen für Ihre VPC auswählen.

com.amazonaws. region. 3

Der Amazon S3-Gateway-Endpunkt verwendet ein IAM-Richtliniendokument, um den Zugriff auf den Dienst zu beschränken. Die Vollzugriffs-Richtlinie kann verwendet werden, da alle Beschränkungen, die Sie in Ihren IAM-Aufgabenrollen oder anderen IAM-Benutzerrichtlinien festgelegt haben, weiterhin zusätzlich zu dieser Richtlinie gelten. Wenn Sie den Zugriff auf den Amazon S3-Bucket auf die für die Verwendung von Amazon ECR erforderlichen Mindestberechtigungen beschränken möchten, siehe .Mindestberechtigungen für Amazon S3-Buckets für Amazon ECR

Mindestberechtigungen für Amazon S3-Buckets für Amazon ECR

Der Amazon S3-Gateway-Endpunkt verwendet ein IAM-Richtliniendokument, um den Zugriff auf den Service zu beschränken. Um nur die minimalen Amazon S3-Bucket-Berechtigungen für Amazon ECR zuzulassen, beschränken Sie den Zugriff auf das Amazon S3-Bucket, das Amazon ECR verwendet, wenn Sie das IAM-Richtliniendokument für den Endpunkt erstellen.

In der folgenden Tabelle werden die von Amazon ECR benötigten Amazon S3-Bucket-Richtlinienberechtigungen beschrieben.

Berechtigung Beschreibung

arn:aws:s3:::prod-region-starport-layer-bucket/*

Ermöglicht den Zugriff auf den Amazon S3-Bucket, der die Schichten für jedes Docker-Image enthält. Stellt den Regionsbezeichner für eine von Amazon ECR unterstützte AWS Region dar, z. B. us-east-2 für die Region US East (Ohio).

Beispiel

Das folgende Beispiel veranschaulicht, wie der Zugriff auf die Amazon S3-Buckets, die für Amazon ECR-Vorgänge erforderlich sind, bereitgestellt wird.

{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"] } ] }

Erstellen Sie den CloudWatch Logs-Endpunkt

Amazon ECS-Aufgaben, die den Starttyp Fargate verwenden und eine VPC ohne Internet-Gateway verwenden, die auch den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, erfordern, dass Sie die Datei com.amazonaws erstellen. regionVPC-Endpunkt der Schnittstelle .logs für CloudWatch Logs. Weitere Informationen finden Sie unter Verwenden von CloudWatch Protokollen mit VPC-Endpunkten der Benutzeroberfläche von Amazon Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

Erstellen Sie eine Endpunktrichtlinie für Ihre Amazon ECR VPC-Endpunkte

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie bei der Erstellung eines Endpunkts keine Richtlinie AWS anhängen, hängt eine Standardrichtlinie für Sie an, die vollen Zugriff auf den Service ermöglicht. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service. Endpunktrichtlinien müssen im JSON-Format erstellt werden. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Wir empfehlen, eine einzige IAM-Ressourcenrichtlinie zu erstellen und sie an beide Amazon ECR VPC-Endpunkte anzuhängen.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon ECR. Diese Richtlinie ermöglicht es einer bestimmten IAM-Rolle, Images von Amazon ECR zu beziehen.

{ "Statement": [{ "Sid": "AllowPull", "Principal": { "AWS": "arn:aws:iam::1234567890:role/role_name" }, "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Effect": "Allow", "Resource": "*" }] }

Das folgende Beispiel für eine Endpunktrichtlinie verhindert, dass ein bestimmtes Repository gelöscht wird.

{ "Statement": [{ "Sid": "AllowAll", "Principal": "*", "Action": "*", "Effect": "Allow", "Resource": "*" }, { "Sid": "PreventDelete", "Principal": "*", "Action": "ecr:DeleteRepository", "Effect": "Deny", "Resource": "arn:aws:ecr:region:1234567890:repository/repository_name" } ] }

Das folgende Beispiel für eine Endpunktrichtlinie vereint die beiden vorherigen Beispiele in einer einzigen Richtlinie.

{ "Statement": [{ "Sid": "AllowAll", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" }, { "Sid": "PreventDelete", "Effect": "Deny", "Principal": "*", "Action": "ecr:DeleteRepository", "Resource": "arn:aws:ecr:region:1234567890:repository/repository_name" }, { "Sid": "AllowPull", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::1234567890:role/role_name" }, "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
So ändern Sie die VPC-Endpunktrichtlinie für Amazon ECR
  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wenn Sie die VPC-Endpunkte für Amazon ECR noch nicht erstellt haben, siehe Erstellen der VPC Endpunkte für Amazon ECR.

  4. Wählen Sie den Amazon-ECR-VPC-Endpunkt aus, dem Sie eine Richtlinie hinzufügen möchten, und wählen Sie die Registerkarte Richtlinie in der unteren Hälfte des Bildschirms.

  5. Wählen Sie Richtlinie bearbeiten und nehmen Sie die Änderungen an der Richtlinie vor.

  6. Wählen Sie Speichern, um die Änderung zu speichern.

Gemeinsam genutzte Subnetze

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.