Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMautorisations requises pour synchroniser un registre en amont avec un registre ECR privé Amazon
Outre les ECR API autorisations Amazon nécessaires pour s'authentifier auprès d'un registre privé et pour envoyer et extraire des images, les autorisations supplémentaires suivantes sont nécessaires pour utiliser efficacement les règles du cache d'extraction.
-
ecr:CreatePullThroughCacheRule– Accorde l'autorisation de créer une règle de cache par extraction. Cette autorisation doit être accordée par le biais d'une politique basée sur l'identitéIAM. -
ecr:BatchImportUpstreamImage– Accorde l'autorisation de récupérer l'image externe et de l'importer dans votre registre privé. Cette autorisation peut être accordée en utilisant la politique d'autorisations de registre privé, une politique basée sur l'identité ou en utilisant la IAM politique d'autorisations de référentiel basée sur les ressources. Pour plus d'informations sur l'utilisation d'autorisations de référentiel, consultez Politiques relatives aux référentiels privés dans Amazon ECR. -
ecr:CreateRepository– Accorde l'autorisation de créer un référentiel dans un registre privé. Cette autorisation est requise si le référentiel stockant les images mises en cache n'existe pas déjà. Cette autorisation peut être accordée soit par une IAM politique basée sur l'identité, soit par la politique d'autorisation du registre privé.
Utilisation des autorisations de registre
Les autorisations du registre ECR privé Amazon peuvent être utilisées pour définir les autorisations des IAM entités individuelles à utiliser le cache d'extraction. Si une IAM entité dispose d'un plus grand nombre d'autorisations accordées par une IAM stratégie que celles accordées par la politique d'autorisations de registre, la IAM stratégie a priorité. Par exemple, si un utilisateur dispose des autorisations ecr:*, aucune autorisation supplémentaire n'est nécessaire au niveau du registre.
Ouvrez la ECR console Amazon à l'adresse https://console.aws.amazon.com/ecr/
. -
Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez configurer votre instruction d'autorisations de registre privé.
-
Dans le panneau de navigation, choisissez Private registry (Registre privé), Registry permissions (Autorisations du registre).
-
Dans la page Registry permissions (Autorisations de registre), choisissez Generate statement (Générer une instruction).
-
Pour chaque instruction de politique d'autorisations de mise en cache par extraction que vous souhaitez créer, procédez comme suit.
-
Pour Policy type (Type de politique), choisissez Pull through cache policy (Politique de mise en cache par extraction).
-
Pour Statement id (ID d'instruction), fournissez un nom pour l'instruction de politique de mise en cache par extraction.
-
Pour les IAMentités, spécifiez les utilisateurs, les groupes ou les rôles à inclure dans la politique.
-
Pour Repository namespace (Espace de noms de référentiel), sélectionnez la règle de mise en cache par extraction à laquelle associer la politique.
-
Pour Repository names (Noms de référentiel), spécifiez le nom de base du référentiel pour lequel appliquer la règle. Par exemple, si vous souhaitez spécifier le référentiel Amazon Linux sur Amazon ECR Public, le nom du référentiel serait
amazonlinux.
-
Utilisez la AWS CLI commande suivante pour spécifier les autorisations de registre privé à l'aide du AWS CLI.
-
Créez un fichier local nommé
ptc-registry-policy.jsonavec le contenu de la politique de référentiel. L'exemple suivantecr-pull-through-cache-userautorise la création d'un référentiel et l'extraction d'une image depuis Amazon ECR Public, qui est la source en amont associée à la règle de cache d'extraction créée précédemment.{ "Version": "2012-10-17", "Statement": [ { "Sid": "PullThroughCacheFromReadOnlyRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user" }, "Action": [ "ecr:CreateRepository", "ecr:BatchImportUpstreamImage" ], "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*" } ] }Important
L'autorisation
ecr-CreateRepositoryn'est requise que si le référentiel stockant les images mises en cache n'existe pas déjà. Par exemple, si l'action de création du référentiel et les actions d'extraction d'images sont effectuées par IAM des entités distinctes, telles qu'un administrateur et un développeur. -
Utilisez la put-registry-policycommande pour définir la politique de registre.
aws ecr put-registry-policy \ --policy-text file://ptc-registry.policy.json
Étapes suivantes
Une fois que vous êtes prêt à commencer à utiliser les règles de mise en cache par extraction, procédez comme suit.
-
Créez une règle de mise en cache par extraction. Pour de plus amples informations, veuillez consulter Création d'une règle de cache d'extraction dans Amazon ECR.
-
Créez un modèle de création de référentiel. Un modèle de création de référentiel vous permet de définir les paramètres à utiliser pour les nouveaux référentiels créés par Amazon ECR en votre nom lors d'une action d'extraction dans le cache. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.
