Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Rôle lié à un service Amazon ECR pour la mise en cache par extraction

PDF
RSS
Mode de mise au point
Rôle lié à un service Amazon ECR pour la mise en cache par extraction - Amazon ECR
Autorisations du rôle lié à un service pour Amazon ECRCréation d'un rôle lié à un service pour Amazon ECRModification d'un rôle lié à un service pour Amazon ECRSuppression du rôle lié à un service pour Amazon ECR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon ECR utilise un rôle lié à un service nommé AWSServiceRoleForECRPullThroughCachequi autorise Amazon ECR à effectuer des actions en votre nom pour effectuer des actions d'extraction dans le cache. Pour plus d'informations sur la mise en cache par extraction, consultez Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

Autorisations du rôle lié à un service pour Amazon ECR

Le rôle AWSServiceRoleForECRPullThroughCachelié à un service fait confiance au service suivant pour assumer le rôle.

  • pullthroughcache.ecr.amazonaws.com

Détails de l’autorisation

La politique d'autorisations AWSECRPullThroughCache_ServiceRolePolicy est attachée au rôle lié à un service. Cette politique gérée accorde à Amazon ECR l'autorisation d'effectuer les actions suivantes. Pour de plus amples informations, veuillez consulter AWSECRPullThroughCache_ServiceRolePolicy.

  • ecr : permet au service Amazon ECR de transférer des images vers un référentiel privé.

  • secretsmanager:GetSecretValue— Permet au service Amazon ECR de récupérer le contenu chiffré d'un AWS Secrets Manager secret. Cela est nécessaire lors de l'utilisation d'une règle de mise en cache par extraction pour mettre en cache des images provenant d'un registre en amont qui nécessite une authentification dans votre registre privé. Cette autorisation s'applique uniquement aux secrets portant le préfixe de nom ecr-pullthroughcache/.

La politique AWSECRPullThroughCache_ServiceRolePolicy contient le JSON suivant.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Vous devez configurer les autorisations de manière à autoriser une entité IAM (comme un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d'un rôle lié à un service pour Amazon ECR

Vous n'avez pas besoin de créer manuellement le rôle lié à un service Amazon ECR pour la mise en cache par extraction. Lorsque vous créez une règle de cache d'extraction pour votre registre privé dans le AWS Management Console, le AWS CLI ou l' AWS API, Amazon ECR crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous devez le recréer, vous pourrez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une règle de mise en cache par extraction pour votre registre privé, Amazon ECR crée à nouveau le rôle lié à un service pour vous s'il n'existe pas déjà.

Modification d'un rôle lié à un service pour Amazon ECR

Amazon ECR n'autorise pas la modification manuelle du rôle lié au AWSServiceRoleForECRPullThroughCacheservice. Après la création du rôle lié à un service, vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez Modification d'un rôle lié à un service dans le guide de l'utilisateur IAM.

Suppression du rôle lié à un service pour Amazon ECR

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez supprimer les règles de mise en cache par extraction pour votre registre dans chaque région avant de pouvoir supprimer manuellement le rôle lié à un service.

Note

Si vous essayez de supprimer des ressources alors que le service Amazon ECR utilise toujours le rôle, votre action de suppression peut échouer. Si cela se produit, attendez quelques minutes et réessayez.

Pour supprimer des ressources Amazon ECR utilisées par le rôle lié à un service AWSServiceRoleForECRPullThroughCache

  1. Ouvrez la console Amazon ECR à https://console.aws.amazon.com/ecr/l'adresse.

  2. Dans la barre de navigation, choisissez la région où vos règles de mise en cache par extraction sont créées.

  3. Dans le panneau de navigation, choisissez Registre de schémas.

  4. Dans la page Registre privé, dans la section Configuration de la mise en cache par extraction, choisissez Modifier.

  5. Pour chaque règle de cache d'extraction que vous avez créée, sélectionnez la règle, puis choisissez Supprimer la règle.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForECRPullThroughCacheservice. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.