Octroi d'autorisations de registre pour la réplication entre comptes sur Amazon ECR - Amazon ECR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations de registre pour la réplication entre comptes sur Amazon ECR

Le type de politique entre comptes est utilisé pour accorder des autorisations à un principal AWS , permettant la réplication des référentiels d'un registre source vers votre registre. Par défaut, vous avez l'autorisation de configurer la réplication inter-régions dans votre propre registre. Vous devez uniquement configurer la politique de registre si vous accordez à un autre compte l'autorisation de répliquer du contenu dans votre registre.

Une politique de registre doit autoriser l'ecr:ReplicateImageAPIaction. Il s'APIagit d'un Amazon interne ECR API capable de répliquer des images entre régions ou comptes. Vous pouvez également accorder l'ecr:CreateRepositoryautorisation, ce qui permet ECR à Amazon de créer des référentiels dans votre registre s'ils n'existent pas déjà. Si l'autorisation ecr:CreateRepository n'est pas octroyée, un référentiel portant le même nom que le référentiel source doit être créé manuellement dans votre registre. Si aucun des deux n'est fait, la réplication échouera. Tout échec CreateRepository ou toute ReplicateImage API action apparaît dans CloudTrail.

  1. Ouvrez la ECR console Amazon à l'adresse https://console.aws.amazon.com/ecr/.

  2. Dans la barre de navigation, choisissez la région dans laquelle configurer votre politique de registre.

  3. Dans le panneau de navigation, choisissez Private registry (Registre privé), Registry permissions (Autorisations du registre).

  4. Dans la page Registry permissions (Autorisations de registre), choisissez Generate statement (Générer une instruction).

  5. Effectuez les étapes suivantes pour définir votre déclaration de politique à l'aide du générateur de politique.

    1. Pour Policy type (Type de politique), choisissez Cross account policy (Politique entre comptes).

    2. Pour ID d'instruction, saisissez un ID d'instruction unique. Ce champ est utilisé comme Sid dans la politique de registre.

    3. Dans le champ Comptes, entrez le compte IDs pour chaque compte auquel vous souhaitez accorder des autorisations. Lorsque vous spécifiez plusieurs comptesIDs, séparez-les par une virgule.

  6. Développez l'Aperçu de l'instruction de la politique pour consulter l'instruction de la politique d'autorisations de registre.

  7. Après confirmation de la déclaration de politique, choisissez Ajouter à la politique pour enregistrer la politique dans votre registre.

  1. Créez un fichier nommé registry_policy.json et remplissez-le avec une politique de registre.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Créez la politique de registre à l'aide du fichier de politique.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Récupérez la politique de votre registre pour confirmer.

    aws ecr get-registry-policy \
      --region us-west-2