Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR
Selain izin Amazon ECR API yang diperlukan untuk mengautentikasi ke registri pribadi dan untuk mendorong dan menarik gambar, izin tambahan berikut diperlukan untuk menggunakan aturan cache tarik melalui secara efektif.
-
ecr:CreatePullThroughCacheRule— Memberikan izin untuk membuat aturan cache pull through. Izin ini harus diberikan melalui kebijakan IAM berbasis identitas. -
ecr:BatchImportUpstreamImage— Memberikan izin untuk mengambil gambar eksternal dan mengimpornya ke registri pribadi Anda. Izin ini dapat diberikan dengan menggunakan kebijakan izin registri pribadi, kebijakan IAM berbasis identitas, atau dengan menggunakan kebijakan izin repositori berbasis sumber daya. Untuk informasi selengkapnya tentang menggunakan izin repositori, lihat. Kebijakan repositori pribadi di Amazon ECR -
ecr:CreateRepository— Memberikan izin untuk membuat repositori di registri pribadi. Izin ini diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Izin ini dapat diberikan oleh kebijakan IAM berbasis identitas atau kebijakan izin registri pribadi. -
ecr:TagResource— Memberikan izin untuk menambahkan tag metadata ke sumber daya Amazon ECR. Izin ini hanya diperlukan jika Anda menarik gambar yang menggunakan aturan cache tarik melalui yang memiliki template pembuatan repositori terkait yang dikonfigurasi untuk menambahkan tag sumber daya ke repositori. Izin ini harus diberikan melalui kebijakan IAM berbasis identitas.
Menggunakan izin registri
Izin registri pribadi Amazon ECR dapat digunakan untuk mencakup izin entitas IAM individu untuk menggunakan cache pull through. Jika entitas IAM memiliki lebih banyak izin yang diberikan oleh kebijakan IAM daripada yang diberikan oleh kebijakan izin registri, kebijakan IAM akan diutamakan. Misalnya, jika pengguna memiliki ecr:* izin yang diberikan, tidak ada izin tambahan yang diperlukan di tingkat registri.
Buka konsol Amazon ECR di https://console.aws.amazon.com/ecr/
. -
Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pernyataan izin registri pribadi Anda.
-
Di panel navigasi, pilih Registri pribadi, Izin registri.
-
Pada halaman Izin registri, pilih Hasilkan pernyataan.
-
Untuk setiap pull through pernyataan kebijakan izin cache yang ingin Anda buat, lakukan hal berikut.
-
Untuk jenis Kebijakan, pilih Tarik kebijakan cache.
-
Untuk id Pernyataan, berikan nama untuk kebijakan pernyataan cache tarik melalui.
-
Untuk entitas IAM, tentukan pengguna, grup, atau peran yang akan disertakan dalam kebijakan.
-
Untuk namespace Repositori, pilih aturan pull through cache untuk mengaitkan kebijakan dengan.
-
Untuk nama Repositori, tentukan nama dasar repositori untuk menerapkan aturan. Misalnya, jika Anda ingin menentukan repositori Amazon Linux di Amazon ECR Public, nama repositori akan menjadi.
amazonlinux
-
Gunakan AWS CLI perintah berikut untuk menentukan izin registri pribadi menggunakan. AWS CLI
-
Buat file lokal bernama
ptc-registry-policy.jsondengan isi kebijakan registri Anda. Contoh berikut memberikanecr-pull-through-cache-userizin untuk membuat repositori dan menarik gambar dari Amazon ECR Public, yang merupakan sumber upstream yang terkait dengan aturan cache pull through yang dibuat sebelumnya.{ "Sid": "PullThroughCacheFromReadOnlyRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user" }, "Action": [ "ecr:CreateRepository", "ecr:BatchImportUpstreamImage" ], "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*" }penting
ecr-CreateRepositoryIzin hanya diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Misalnya, jika tindakan pembuatan repositori dan tindakan tarik gambar sedang dilakukan oleh prinsipal IAM terpisah seperti administrator dan pengembang. -
Gunakan put-registry-policyperintah untuk mengatur kebijakan registri.
aws ecr put-registry-policy \ --policy-text file://ptc-registry.policy.json
Langkah selanjutnya
Setelah Anda siap untuk mulai menggunakan aturan pull through cache, berikut ini adalah langkah selanjutnya.
-
Buat aturan cache pull through. Untuk informasi selengkapnya, lihat Membuat aturan cache tarik melalui di Amazon ECR.
-
Buat template pembuatan repositori. Template pembuatan repositori memberi Anda kontrol untuk menentukan pengaturan yang akan digunakan untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda selama tindakan pull through cache. Untuk informasi selengkapnya, lihat Template untuk mengontrol repositori yang dibuat selama aksi pull through cache.
