Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR
<a name="pull-through-cache-iam"></a>

Selain izin Amazon ECR API yang diperlukan untuk mengautentikasi ke registri pribadi dan untuk mendorong dan menarik gambar, izin tambahan berikut diperlukan untuk menggunakan aturan cache tarik melalui secara efektif.
+ `ecr:CreatePullThroughCacheRule`— Memberikan izin untuk membuat aturan cache pull through. Izin ini harus diberikan melalui kebijakan IAM berbasis identitas.
+ `ecr:BatchImportUpstreamImage`— Memberikan izin untuk mengambil gambar eksternal dan mengimpornya ke registri pribadi Anda. Izin ini dapat diberikan dengan menggunakan kebijakan izin registri pribadi, kebijakan IAM berbasis identitas, atau dengan menggunakan kebijakan izin repositori berbasis sumber daya. Untuk informasi selengkapnya tentang menggunakan izin repositori, lihat. [Kebijakan repositori pribadi di Amazon ECR](repository-policies.md)
+ `ecr:CreateRepository`— Memberikan izin untuk membuat repositori di registri pribadi. Izin ini diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Izin ini dapat diberikan oleh kebijakan IAM berbasis identitas atau kebijakan izin registri pribadi.

## Menggunakan izin registri
<a name="pull-through-cache-registry-permissions"></a>

Izin registri pribadi Amazon ECR dapat digunakan untuk mencakup izin entitas IAM individu untuk menggunakan cache pull through. Jika entitas IAM memiliki lebih banyak izin yang diberikan oleh kebijakan IAM daripada yang diberikan oleh kebijakan izin registri, kebijakan IAM akan diutamakan. Misalnya, jika pengguna memiliki `ecr:*` izin yang diberikan, tidak ada izin tambahan yang diperlukan di tingkat registri.

### Untuk membuat kebijakan izin registri pribadi ()Konsol Manajemen AWS
<a name="pull-through-cache-registry-permissions-console"></a>

1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pernyataan izin registri pribadi Anda.

1. Di panel navigasi, pilih **Registri pribadi**, **Izin registri**.

1. Pada halaman **Izin registri**, pilih **Hasilkan pernyataan**.

1. Untuk setiap pull through pernyataan kebijakan izin cache yang ingin Anda buat, lakukan hal berikut.

   1. Untuk **jenis Policy**, pilih **Pull through cache policy**.

   1. Untuk **id Pernyataan**, berikan nama untuk kebijakan pernyataan cache tarik melalui.

   1. Untuk **entitas IAM**, tentukan pengguna, grup, atau peran yang akan disertakan dalam kebijakan.

   1. Untuk **namespace Repositori**, pilih aturan pull through cache untuk mengaitkan kebijakan dengan.

   1. Untuk nama **Repositori, tentukan nama** dasar repositori untuk menerapkan aturan. Misalnya, jika Anda ingin menentukan repositori Amazon Linux di Amazon ECR Public, nama repositori akan menjadi. `amazonlinux`

### Untuk membuat kebijakan izin registri pribadi ()AWS CLI
<a name="pull-through-cache-registry-permissions-cli"></a>

Gunakan AWS CLI perintah berikut untuk menentukan izin registri pribadi menggunakan. AWS CLI

1. Buat file lokal bernama `ptc-registry-policy.json` dengan isi kebijakan registri Anda. Contoh berikut memberikan `ecr-pull-through-cache-user` izin untuk membuat repositori dan menarik gambar dari Amazon ECR Public, yang merupakan sumber upstream yang terkait dengan aturan cache pull through yang dibuat sebelumnya.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "PullThroughCacheFromReadOnlyRole",
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
         },
         "Action": [
           "ecr:CreateRepository",
           "ecr:BatchImportUpstreamImage"
         ],
         "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
       }
     ]
   }
   ```

------
**penting**  
`ecr-CreateRepository`Izin hanya diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Misalnya, jika tindakan pembuatan repositori dan tindakan tarik gambar sedang dilakukan oleh prinsipal IAM terpisah seperti administrator dan pengembang.

1. Gunakan [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)perintah untuk mengatur kebijakan registri.

   ```
   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json
   ```

## Langkah selanjutnya
<a name="pull-through-cache-next-steps"></a>

Setelah Anda siap untuk mulai menggunakan aturan pull through cache, berikut ini adalah langkah selanjutnya.
+ Buat aturan cache pull through. Untuk informasi selengkapnya, lihat [Membuat aturan cache tarik melalui di Amazon ECR](pull-through-cache-creating-rule.md).
+ Buat template pembuatan repositori. Template pembuatan repositori memberi Anda kontrol untuk menentukan pengaturan yang akan digunakan untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda selama tindakan pull through cache. Untuk informasi selengkapnya, lihat [Template untuk mengontrol repositori yang dibuat selama pull through cache, membuat saat push, atau tindakan replikasi](repository-creation-templates.md).