Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations IAM requises pour synchroniser un registre en amont avec un registre privé Amazon ECR
Outre les autorisations d'API Amazon ECR nécessaires pour s'authentifier auprès d'un registre privé et pour transférer et extraire des images, les autorisations supplémentaires suivantes sont nécessaires pour utiliser efficacement les règles de mise en cache par extraction.
+ `ecr:CreatePullThroughCacheRule` – Accorde l'autorisation de créer une règle de cache par extraction. Cette autorisation doit être accordée via une politique IAM basée sur l'identité.
+ `ecr:BatchImportUpstreamImage` – Accorde l'autorisation de récupérer l'image externe et de l'importer dans votre registre privé. Cette autorisation peut être accordée à l'aide de la politique d'autorisation du registre privé, d'une politique IAM basée sur l'identité ou de la politique d'autorisations de référentiel basée sur les ressources. Pour plus d'informations sur l'utilisation d'autorisations de référentiel, consultez [Politiques relatives aux référentiels privés dans Amazon ECR](repository-policies.md).
+ `ecr:CreateRepository` – Accorde l'autorisation de créer un référentiel dans un registre privé. Cette autorisation est requise si le référentiel stockant les images mises en cache n'existe pas déjà. Cette autorisation peut être accordée soit par une politique IAM basée sur l'identité, soit par la politique d'autorisation du registre privé.
## Utilisation des autorisations de registre
Les autorisations du registre privé Amazon ECR peuvent être utilisées pour étendre les autorisations des entités IAM individuelles à utiliser la mise en cache par extraction. Si une entité IAM dispose de plus d'autorisations accordées par une politique IAM que celles accordées par la politique d'autorisations de registre, la politique IAM a la priorité. Par exemple, si un utilisateur dispose des autorisations `ecr:*`, aucune autorisation supplémentaire n'est nécessaire au niveau du registre.
### Pour créer une politique d'autorisations de registre privée (AWS Management Console)
1. Ouvrez la console Amazon ECR à [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)l'adresse.
1. Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez configurer votre instruction d'autorisations de registre privé.
1. Dans le panneau de navigation, choisissez **Private registry** (Registre privé), **Registry permissions** (Autorisations du registre).
1. Dans la page **Registry permissions** (Autorisations de registre), choisissez **Generate statement** (Générer une instruction).
1. Pour chaque instruction de politique d'autorisations de mise en cache par extraction que vous souhaitez créer, procédez comme suit.
1. Pour **Policy type** (Type de politique), choisissez **Pull through cache policy** (Politique de mise en cache par extraction).
1. Pour **Statement id** (ID d'instruction), fournissez un nom pour l'instruction de politique de mise en cache par extraction.
1. Pour **IAM entities** (Entités IAM), indiquez les utilisateurs, groupes ou rôles à inclure dans la politique.
1. Pour **Repository namespace** (Espace de noms de référentiel), sélectionnez la règle de mise en cache par extraction à laquelle associer la politique.
1. Pour **Repository names** (Noms de référentiel), spécifiez le nom de base du référentiel pour lequel appliquer la règle. Par exemple, si vous voulez spécifier le référentiel Amazon Linux sur Amazon ECR Public, le nom du référentiel sera `amazonlinux`.
### Pour créer une politique d'autorisations de registre privée (AWS CLI)
Utilisez la AWS CLI commande suivante pour spécifier les autorisations de registre privé à l'aide du AWS CLI.
1. Créez un fichier local nommé `ptc-registry-policy.json` avec le contenu de la politique de référentiel. L'exemple suivant accorde à `ecr-pull-through-cache-user` l'autorisation de créer un référentiel et d'extraire une image depuis Amazon ECR Public, qui est la source en amont associée à la règle de cache par extraction précédemment créée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PullThroughCacheFromReadOnlyRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
},
"Action": [
"ecr:CreateRepository",
"ecr:BatchImportUpstreamImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
}
]
}
```
------
**Important**
L'autorisation `ecr-CreateRepository` n'est requise que si le référentiel stockant les images mises en cache n'existe pas déjà. Par exemple, si l'action de création du référentiel et les actions d'extraction d'image sont effectuées par des IAM principaux distincts tels qu'un administrateur et un développeur.
1. Utilisez la [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)commande pour définir la politique de registre.
```
aws ecr put-registry-policy \
--policy-text file://ptc-registry.policy.json
```
## Étapes suivantes
Une fois que vous êtes prêt à commencer à utiliser les règles de mise en cache par extraction, procédez comme suit.
+ Créez une règle de mise en cache par extraction. Pour de plus amples informations, veuillez consulter [Création d'une règle de cache d'extraction dans Amazon ECR](pull-through-cache-creating-rule.md).
+ Créez un modèle de création de référentiel. Un modèle de création de référentiel vous permet de définir les paramètres à utiliser pour les nouveaux référentiels créés par Amazon ECR en votre nom lors d'une action de mise en cache par extraction. Pour de plus amples informations, veuillez consulter [Modèles pour contrôler les référentiels créés lors d'une opération d'extraction du cache, d'une création push ou d'une action de réplication](repository-creation-templates.md).