Uso de permisos de registro Siguientes pasos

Se requieren permisos de IAM para sincronizar un registro ascendente con un registro privado de Amazon ECR

Además de los permisos de la API de Amazon ECR necesarios para autenticarse en un registro privado y para insertar y extraer imágenes, se necesitan los siguientes permisos adicionales para utilizar reglas de caché de extracción.

ecr:CreatePullThroughCacheRule: otorga permiso para crear una regla de caché de extracción. Este permiso debe otorgarse a través de una política de IAM basada en identidad.
ecr:BatchImportUpstreamImage: otorga permiso para recuperar la imagen externa e importarla a su registro privado. Este permiso se puede otorgar utilizando la política de permisos de registro privado, una política de IAM basada en identidad o mediante la política de permisos de repositorio basada en recursos. Para obtener más información sobre el uso de permisos de repositorio, consulte Políticas de repositorios privados en Amazon ECR.
ecr:CreateRepository: otorga permiso para crear un repositorio en un registro privado. Este permiso es necesario si el repositorio donde se conservan las imágenes almacenadas en caché no existe todavía. Este permiso se puede otorgar mediante una política de IAM basada en identidad o bien mediante la política de permisos de registro privado.
ecr:TagResource: concede permiso para agregar etiquetas de metadatos a un recurso de Amazon ECR. Este permiso solo es necesario si va a extraer una imagen que utilice una regla de caché de extracción que tenga asociada una plantilla de creación de repositorios configurada para agregar etiquetas de recursos al repositorio. Este permiso debe otorgarse a través de una política de IAM basada en identidad.

Uso de permisos de registro

Los permisos de registro privado de Amazon ECR se pueden utilizar para abarcar los permisos de entidades de IAM individuales a fin de utilizar caché de extracción. Si una entidad de IAM tiene más permisos otorgados por una política de IAM de los que la política de permisos de registro concede, prevalece la política de IAM. Por ejemplo, si un usuario tiene concedidos permisos de ecr:*, no se necesitan permisos adicionales en el nivel del registro.

Abra la consola de Amazon ECR en https://console.aws.amazon.com/ecr/.
En la barra de navegación, elija la región en la que configurar su declaración de permisos de registro privado.
En el panel de navegación, elija Private registry (Registro privado), Registry permissions (Permisos de registro).
En la página Registry permissions (Permisos de registro), elija Generate statement (Generar declaración) .
Para cada declaración de política de permisos de caché de extracción que desee crear, haga lo siguiente.
1. Para Policy type (Tipo de política), elija Pull through cache policy (Política de caché de extracción).
2. Para Statement id (ID de declaración), proporcione un nombre para la política de declaración de caché de extracción.
3. Para AM entities (Entidades de IAM), especifique los usuarios, grupos o roles que se deben incluir en la política.
4. Para Repository namespace (Espacio de nombres de repositorio), seleccione la regla de caché de extracción a la que asociar la política.
5. Para Repository names (Nombres de repositorio), especifique el nombre base del repositorio para el que se va a aplicar la regla. Por ejemplo, si desea especificar el repositorio de Amazon Linux en Amazon ECR Public, el nombre del repositorio sería amazonlinux.

Utilice el siguiente AWS CLI comando para especificar los permisos de registro privado mediante el. AWS CLI

Cree un archivo local denominado ptc-registry-policy.json con el contenido de la política de registro. En el siguiente ejemplo se concede el permiso ecr-pull-through-cache-user para crear un repositorio y extraer una imagen de la galería pública de Amazon ECR, que es el origen ascendente asociado a la regla de caché de extracción creada previamente.
```
{
  "Sid": "PullThroughCacheFromReadOnlyRole",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
  },
  "Action": [
    "ecr:CreateRepository",
    "ecr:BatchImportUpstreamImage"
  ],
  "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
}
```
importante
El permiso ecr-CreateRepository solo es necesario si el repositorio donde se conservan las imágenes almacenadas en caché no existe todavía. Por ejemplo, si la acción de creación del repositorio y las acciones de extracción de imágenes las realizan entidades principales de IAM independientes, como un administrador y un desarrollador.

Utilice el comando put-registry-policy para establecer la política de registro.


aws ecr put-registry-policy \
     --policy-text file://ptc-registry.policy.json

Siguientes pasos

Una vez que esté listo para empezar a utilizar las reglas de caché de extracción, siga estos pasos.

Crear una regla de caché de extracción. Para obtener más información, consulte Creación de una regla de extracción de caché en Amazon ECR.
Cree una plantilla de creación de repositorios. Puede utilizar una plantilla de creación de repositorios para definir la configuración que se aplicará a los repositorios creados por Amazon ECR en su nombre durante una acción de caché de extracción. Para obtener más información, consulte Plantillas para controlar los repositorios creados durante una acción de extracción de caché.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Sincronice un registro anterior

Creación de una regla de caché de extracción

Se requieren permisos de IAM para sincronizar un registro ascendente con un registro privado de Amazon ECR

Uso de permisos de registro

importante

Siguientes pasos