Utiliser des images Amazon ECR avec Amazon ECS - Amazon ECR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des images Amazon ECR avec Amazon ECS

Vous pouvez utiliser vos référentiels Amazon ECR privés pour héberger des images de conteneurs et des artefacts que vos tâches Amazon ECS peuvent extraire. Pour que cela fonctionne, l'agent de conteneur Amazon ECS ou Fargate doit disposer des autorisations nécessaires pour créer les API ecr:BatchGetImage, ecr:GetDownloadUrlForLayer et ecr:GetAuthorizationToken.

Autorisations IAM requises

Le tableau suivant indique le rôle IAM à utiliser, pour chaque type de lancement, qui fournit les autorisations requises pour que vos tâches puissent être extraites d'un référentiel Amazon ECR privé. Amazon ECS fournit des politiques IAM gérées qui incluent les autorisations requises.

Type de lancement Rôle IAM AWS politique IAM gérée
Amazon ECS sur des instances Amazon EC2

Utilisez le rôle IAM de l'instance de conteneur, qui est associé à l'instance Amazon EC2 enregistrée dans votre cluster Amazon ECS. Pour plus d'informations, consultez la section consacrée au Rôle IAM d'instance de conteneur dans le Guide du développeur Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Pour plus d'informations, consultez AmazonEC2ContainerServiceforEC2Role dans le Guide du développeur Amazon Elastic Container Service

Amazon ECS sur Fargate

Utilisez le rôle IAM d'exécution des tâches auquel vous faites référence dans votre définition de tâche Amazon ECS. Pour de plus amples informations, veuillez consulter Rôle IAM d’exécution de tâche dans le Manuel du développeur Amazon Elastic Container Service.

AmazonECSTaskExecutionRolePolicy

Pour plus d'informations, consultez AmazonECSTaskExecutionRolePolicy dans le Guide du développeur Amazon Elastic Container Service

Amazon ECS sur les instances externes

Utilisez le rôle IAM de l'instance de conteneur, qui est associé au serveur sur site ou à la machine virtuelle (VM) enregistrée vers votre cluster Amazon ECS. Pour plus d'informations, reportez-vous à la section consacrée au Rôle Amazon ECS d'instance de conteneur dans le Guide du développeur Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Pour plus d'informations, consultez AmazonEC2ContainerServiceforEC2Role dans le Guide du développeur Amazon Elastic Container Service

Important

Les politiques IAM AWS gérées contiennent des autorisations supplémentaires dont vous n'aurez peut-être pas besoin pour votre utilisation. Dans ce cas, il s'agit des autorisations minimales requises pour extraire des données d'un référentiel Amazon ECR privé.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }

Spécifier une image Amazon ECR dans une définition de tâche Amazon ECS

Lorsque vous créez une définition de tâche Amazon ECS, vous pouvez spécifier une image de conteneur hébergée dans un référentiel Amazon ECR privé. Dans la définition de tâches, assurez-vous d'utiliser la dénomination registry/repository:tag complète pour vos images Amazon ECR. Par exemple, aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest.

L'extrait de définition de tâche suivant montre la syntaxe que vous utiliseriez pour spécifier une image de conteneur hébergée dans Amazon ECR pour votre définition de tâche Amazon ECS.

{ "family": "task-definition-name", ... "containerDefinitions": [ { "name": "container-name", "image": "aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest", ... } ], ... }