Rôle ECR lié à un service Amazon pour le cache d'extraction - Amazon ECR
Autorisations de rôle liées à un service pour Amazon ECRCréation d'un rôle lié à un service pour Amazon ECRModification d'un rôle lié à un service pour Amazon ECRSupprimer le rôle lié à un service pour Amazon ECR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle ECR lié à un service Amazon pour le cache d'extraction

Amazon ECR utilise un rôle lié à un service nommé AWSServiceRoleForECRPullThroughCachequi autorise Amazon ECR à effectuer des actions en votre nom pour effectuer des actions d'extraction dans le cache. Pour plus d'informations sur la mise en cache par extraction, consultez Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

Autorisations de rôle liées à un service pour Amazon ECR

Le rôle AWSServiceRoleForECRPullThroughCachelié à un service fait confiance au service suivant pour assumer le rôle.

  • pullthroughcache.ecr.amazonaws.com

Détails de l’autorisation

La politique d'autorisations AWSECRPullThroughCache_ServiceRolePolicy est attachée au rôle lié à un service. Cette politique gérée ECR autorise Amazon à effectuer les actions suivantes. Pour de plus amples informations, veuillez consulter AWSECRPullThroughCache_ServiceRolePolicy.

  • ecr— Permet au ECR service Amazon de transférer des images vers un dépôt privé.

  • secretsmanager:GetSecretValue— Permet au ECR service Amazon de récupérer le contenu crypté d'un AWS Secrets Manager secret. Cela est nécessaire lors de l'utilisation d'une règle de mise en cache par extraction pour mettre en cache des images provenant d'un registre en amont qui nécessite une authentification dans votre registre privé. Cette autorisation s'applique uniquement aux secrets portant le préfixe de nom ecr-pullthroughcache/.

La AWSECRPullThroughCache_ServiceRolePolicy politique contient les éléments suivantsJSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Vous devez configurer les autorisations pour autoriser une IAM entité (par exemple un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.

Création d'un rôle lié à un service pour Amazon ECR

Il n'est pas nécessaire de créer manuellement le rôle ECR lié à un service Amazon pour le cache d'extraction. Lorsque vous créez une règle de cache d'extraction pour votre registre privé dans le AWS Management Console, le AWS CLI, ou le AWS API, Amazon ECR crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous devez le recréer, vous pourrez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une règle de cache d'extraction pour votre registre privé, Amazon ECR crée à nouveau le rôle lié au service pour vous s'il n'existe pas déjà.

Modification d'un rôle lié à un service pour Amazon ECR

Amazon ECR n'autorise pas la modification manuelle du rôle AWSServiceRoleForECRPullThroughCachelié au service. Après la création du rôle lié à un service, vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Supprimer le rôle lié à un service pour Amazon ECR

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez supprimer les règles de mise en cache par extraction pour votre registre dans chaque région avant de pouvoir supprimer manuellement le rôle lié à un service.

Note

Si vous essayez de supprimer des ressources alors que le ECR service Amazon utilise toujours le rôle, votre action de suppression risque d'échouer. Si cela se produit, attendez quelques minutes et réessayez.

Pour supprimer les ECR ressources Amazon utilisées par le rôle lié à AWSServiceRoleForECRPullThroughCacheun service

  1. Ouvrez la ECR console Amazon à l'adresse https://console.aws.amazon.com/ecr/.

  2. Dans la barre de navigation, choisissez la région où vos règles de mise en cache par extraction sont créées.

  3. Dans le panneau de navigation, choisissez Registre de schémas.

  4. Dans la page Registre privé, dans la section Configuration de la mise en cache par extraction, choisissez Modifier.

  5. Pour chaque règle de cache d'extraction que vous avez créée, sélectionnez la règle, puis choisissez Supprimer la règle.

Pour supprimer manuellement le rôle lié à un service à l'aide de IAM

Utilisez la IAM console AWS CLI, le ou le AWS API pour supprimer le rôle AWSServiceRoleForECRPullThroughCachelié au service. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le guide de l'IAMutilisateur.