Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Sinkronkan registri hulu dengan registri pribadi Amazon ECR
Menggunakan aturan pull through cache, Anda dapat menyinkronkan konten registri upstream dengan registri pribadi Amazon ECR Anda.
Amazon ECR saat ini mendukung pembuatan aturan cache tarik untuk pendaftar hulu berikut:
+ Amazon ECR Public, Kubernetes container image registry, dan Quay (tidak memerlukan otentikasi)
+ Docker Hub, Microsoft Azure Container Registry, Container Registry, GitHub GitLab Container Registry dan Chainguard Registry (memerlukan otentikasi dengan rahasia) AWS Secrets Manager
+ Amazon ECR (memerlukan otentikasi dengan peran AWS IAM)
Untuk GitLab Container Registry, Amazon ECR mendukung pull through cache hanya dengan GitLab penawaran Software as a Service (SaaS). [Untuk informasi lebih lanjut tentang menggunakan penawaran GitLab SaaS, lihat GitLab .com.](https://docs.gitlab.com/17.5/subscriptions/choosing_subscription/)
Untuk registrasi upstream yang memerlukan otentikasi dengan rahasia (seperti Docker Hub), Anda harus menyimpan kredensialnya secara rahasia. AWS Secrets Manager Anda dapat menggunakan konsol Amazon ECR untuk membuat rahasia Secrets Manager untuk setiap registri upstream yang diautentikasi. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
Untuk Amazon ECR, Anda harus membuat peran IAM jika pendaftar ECR Amazon hulu dan hilir milik akun yang berbeda. AWS Untuk informasi selengkapnya tentang cara membuat sebuah IAM role, lihat [Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache](pull-through-cache-private.md#pull-through-cache-private-permissions).
Setelah Anda membuat aturan pull through cache untuk registri upstream, tarik gambar dari registri upstream menggunakan URI registri pribadi Amazon ECR Anda. Amazon ECR kemudian membuat repositori dan menyimpan gambar itu di registri pribadi Anda. Untuk permintaan tarik berikutnya dari gambar yang di-cache dengan tag yang diberikan, Amazon ECR memeriksa registri hulu untuk versi baru gambar dengan tag spesifik tersebut dan mencoba memperbarui gambar di registri pribadi Anda setidaknya sekali setiap 24 jam.
## Templat pembuatan repositori
Amazon ECR telah menambahkan dukungan untuk template pembuatan repositori, yang memberi Anda kontrol untuk menentukan konfigurasi awal untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda menggunakan aturan pull through cache. Setiap template berisi awalan namespace repositori yang digunakan untuk mencocokkan repositori baru dengan template tertentu. Template dapat menentukan konfigurasi untuk semua pengaturan repositori termasuk kebijakan akses berbasis sumber daya, kekekalan tag, enkripsi, dan kebijakan siklus hidup. Pengaturan dalam template pembuatan repositori hanya diterapkan selama pembuatan repositori dan tidak berpengaruh pada repositori atau repositori yang ada yang dibuat menggunakan metode lain. Untuk informasi selengkapnya, lihat [Template untuk mengontrol repositori yang dibuat selama pull through cache, membuat saat push, atau tindakan replikasi](repository-creation-templates.md).
## Pertimbangan untuk menggunakan aturan pull through cache
Pertimbangkan hal berikut saat menggunakan Amazon ECR tarik melalui aturan cache.
+ Membuat aturan pull through cache tidak didukung di Wilayah berikut.
+ China (Beijing) (`cn-north-1`)
+ China (Ningxia) (`cn-northwest-1`)
+ AWS GovCloud (AS-Timur) (`us-gov-east-1`)
+ AWS GovCloud (AS-Barat) (`us-gov-west-1`)
+ AWS Lambda tidak mendukung penarikan gambar kontainer dari Amazon ECR menggunakan aturan cache tarik.
+ Saat menarik gambar menggunakan cache tarik, titik akhir layanan Amazon ECR FIPS tidak didukung saat pertama kali gambar ditarik. Menggunakan titik akhir layanan Amazon ECR FIPS berfungsi pada tarikan berikutnya.
+ Untuk repositori upstream yang memerlukan otentikasi, ketika gambar ditarik melalui URI registri pribadi Amazon ECR untuk pertama kalinya atau untuk memperbarui cache, penarikan gambar dimulai oleh pengguna yang terkait dengan kredensyal yang dikonfigurasi dalam aturan pull through cache. Penarikan berikutnya akan mengembalikan gambar langsung dari cache di registri pribadi pelanggan.
+ Untuk repositori upstream yang tidak memerlukan otentikasi, ketika gambar ditarik melalui URI registri pribadi Amazon ECR, penarikan gambar dimulai oleh alamat IP. AWS
+ Saat gambar yang di-cache ditarik melalui URI registri pribadi Amazon ECR, Amazon ECR memeriksa repositori upstream setidaknya sekali setiap 24 jam untuk memverifikasi apakah gambar yang di-cache adalah versi terbaru. Jika ada gambar yang lebih baru di registri hulu, Amazon ECR mencoba memperbarui gambar yang di-cache. Timer ini didasarkan pada tarikan terakhir dari gambar yang di-cache.
+ Jika Amazon ECR tidak dapat memperbarui gambar dari registri hulu karena alasan apa pun dan gambar ditarik, gambar cache terakhir akan tetap ditarik.
+ Saat membuat rahasia Secrets Manager yang berisi kredensyal registri hulu, nama rahasia harus menggunakan awalan. `ecr-pullthroughcache/` Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
+ Saat gambar multi-arsitektur ditarik menggunakan aturan cache pull through, daftar manifes dan setiap gambar yang direferensikan dalam daftar manifes ditarik ke repositori Amazon ECR. Jika Anda hanya ingin menarik arsitektur tertentu, Anda dapat menarik gambar menggunakan intisari gambar atau tag yang terkait dengan arsitektur daripada tag yang terkait dengan daftar manifes.
+ Amazon ECR menggunakan peran IAM terkait layanan, yang menyediakan izin yang diperlukan Amazon ECR untuk membuat repositori, mengambil nilai rahasia Secrets Manager untuk otentikasi, dan mendorong gambar yang di-cache atas nama Anda. Peran IAM terkait layanan dibuat secara otomatis saat aturan pull through cache dibuat. Untuk informasi selengkapnya, lihat [Peran terkait layanan Amazon ECR untuk menarik cache](slr-pullthroughcache.md).
+ Secara default, prinsipal IAM yang menarik gambar yang di-cache memiliki izin yang diberikan kepada mereka melalui kebijakan IAM mereka. Anda dapat menggunakan kebijakan izin registri pribadi Amazon ECR untuk cakupan lebih lanjut izin entitas IAM. Untuk informasi selengkapnya, lihat [Menggunakan izin registri](pull-through-cache-iam.md#pull-through-cache-registry-permissions).
+ Repositori Amazon ECR yang dibuat menggunakan alur kerja pull through cache diperlakukan seperti repositori ECR Amazon lainnya. Semua fitur repositori, seperti replikasi dan pemindaian gambar didukung.
+ Saat Amazon ECR membuat repositori baru atas nama Anda menggunakan tindakan pull through cache, pengaturan default berikut diterapkan ke repositori kecuali ada template pembuatan repositori yang cocok. Anda dapat menggunakan template pembuatan repositori untuk menentukan pengaturan yang diterapkan ke repositori yang dibuat oleh Amazon ECR atas nama Anda. Untuk informasi selengkapnya, lihat [Template untuk mengontrol repositori yang dibuat selama pull through cache, membuat saat push, atau tindakan replikasi](repository-creation-templates.md).
+ Kekekalan tag - Kekekalan tag menentukan apakah tag gambar dapat ditimpa. Secara default, tag gambar dapat berubah (dapat ditimpa). **Anda dapat mengubah perilaku tag dengan mengonfigurasi filter pengecualian tag di kotak teks **pengecualian tag Mutable saat Mutable dipilih, atau kotak teks pengecualian** **tag Immutable** **saat Immutable** dipilih.**
+ Enkripsi — `AES256` Enkripsi default digunakan.
+ Izin repositori - Dihilangkan, tidak ada kebijakan izin repositori yang diterapkan.
+ Kebijakan siklus hidup - Dihilangkan, tidak ada kebijakan siklus hidup yang diterapkan.
+ Tag sumber daya - Dihilangkan, tidak ada tag sumber daya yang diterapkan.
+ Mengaktifkan kekekalan tag gambar untuk repositori menggunakan aturan cache tarik melalui akan mencegah Amazon ECR memperbarui gambar menggunakan tag yang sama.
+ Ketika gambar ditarik menggunakan aturan pull through cache untuk pertama kalinya rute ke internet mungkin diperlukan. Ada keadaan tertentu di mana rute ke internet diperlukan sehingga yang terbaik adalah mengatur rute untuk menghindari kegagalan. Jadi, jika Anda telah mengonfigurasi Amazon ECR untuk AWS PrivateLink menggunakan titik akhir VPC antarmuka, maka Anda perlu memastikan tarikan pertama memiliki rute ke internet. Salah satu cara untuk melakukannya adalah dengan membuat subnet publik di VPC yang sama, dengan gateway internet, dan kemudian merutekan semua lalu lintas keluar ke internet dari subnet pribadi mereka ke subnet publik. Penarikan gambar berikutnya menggunakan aturan pull through cache tidak memerlukan ini. Untuk informasi selengkapnya, lihat [Contoh opsi perutean](https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.
# Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR
Selain izin Amazon ECR API yang diperlukan untuk mengautentikasi ke registri pribadi dan untuk mendorong dan menarik gambar, izin tambahan berikut diperlukan untuk menggunakan aturan cache tarik melalui secara efektif.
+ `ecr:CreatePullThroughCacheRule`— Memberikan izin untuk membuat aturan cache pull through. Izin ini harus diberikan melalui kebijakan IAM berbasis identitas.
+ `ecr:BatchImportUpstreamImage`— Memberikan izin untuk mengambil gambar eksternal dan mengimpornya ke registri pribadi Anda. Izin ini dapat diberikan dengan menggunakan kebijakan izin registri pribadi, kebijakan IAM berbasis identitas, atau dengan menggunakan kebijakan izin repositori berbasis sumber daya. Untuk informasi selengkapnya tentang menggunakan izin repositori, lihat. [Kebijakan repositori pribadi di Amazon ECR](repository-policies.md)
+ `ecr:CreateRepository`— Memberikan izin untuk membuat repositori di registri pribadi. Izin ini diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Izin ini dapat diberikan oleh kebijakan IAM berbasis identitas atau kebijakan izin registri pribadi.
## Menggunakan izin registri
Izin registri pribadi Amazon ECR dapat digunakan untuk mencakup izin entitas IAM individu untuk menggunakan cache pull through. Jika entitas IAM memiliki lebih banyak izin yang diberikan oleh kebijakan IAM daripada yang diberikan oleh kebijakan izin registri, kebijakan IAM akan diutamakan. Misalnya, jika pengguna memiliki `ecr:*` izin yang diberikan, tidak ada izin tambahan yang diperlukan di tingkat registri.
### Untuk membuat kebijakan izin registri pribadi ()Konsol Manajemen AWS
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pernyataan izin registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Izin registri**.
1. Pada halaman **Izin registri**, pilih **Hasilkan pernyataan**.
1. Untuk setiap pull through pernyataan kebijakan izin cache yang ingin Anda buat, lakukan hal berikut.
1. Untuk **jenis Kebijakan**, pilih **Tarik kebijakan cache**.
1. Untuk **id Pernyataan**, berikan nama untuk kebijakan pernyataan cache tarik melalui.
1. Untuk **entitas IAM**, tentukan pengguna, grup, atau peran yang akan disertakan dalam kebijakan.
1. Untuk **namespace Repositori**, pilih aturan pull through cache untuk mengaitkan kebijakan dengan.
1. Untuk nama **Repositori, tentukan nama** dasar repositori untuk menerapkan aturan. Misalnya, jika Anda ingin menentukan repositori Amazon Linux di Amazon ECR Public, nama repositori akan menjadi. `amazonlinux`
### Untuk membuat kebijakan izin registri pribadi ()AWS CLI
Gunakan AWS CLI perintah berikut untuk menentukan izin registri pribadi menggunakan. AWS CLI
1. Buat file lokal bernama `ptc-registry-policy.json` dengan isi kebijakan registri Anda. Contoh berikut memberikan `ecr-pull-through-cache-user` izin untuk membuat repositori dan menarik gambar dari Amazon ECR Public, yang merupakan sumber upstream yang terkait dengan aturan cache pull through yang dibuat sebelumnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PullThroughCacheFromReadOnlyRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
},
"Action": [
"ecr:CreateRepository",
"ecr:BatchImportUpstreamImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
}
]
}
```
------
**penting**
`ecr-CreateRepository`Izin hanya diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Misalnya, jika tindakan pembuatan repositori dan tindakan tarik gambar sedang dilakukan oleh prinsipal IAM terpisah seperti administrator dan pengembang.
1. Gunakan [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)perintah untuk mengatur kebijakan registri.
```
aws ecr put-registry-policy \
--policy-text file://ptc-registry.policy.json
```
## Langkah selanjutnya
Setelah Anda siap untuk mulai menggunakan aturan pull through cache, berikut ini adalah langkah selanjutnya.
+ Buat aturan cache pull through. Untuk informasi selengkapnya, lihat [Membuat aturan cache tarik melalui di Amazon ECR](pull-through-cache-creating-rule.md).
+ Buat template pembuatan repositori. Template pembuatan repositori memberi Anda kontrol untuk menentukan pengaturan yang akan digunakan untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda selama tindakan pull through cache. Untuk informasi selengkapnya, lihat [Template untuk mengontrol repositori yang dibuat selama pull through cache, membuat saat push, atau tindakan replikasi](repository-creation-templates.md).
# Menyiapkan izin untuk ECR lintas akun ke ECR PTC
Fitur cache Amazon ECR ke Amazon ECR (ECR ke ECR) memungkinkan sinkronisasi otomatis gambar antara Wilayah, akun, AWS atau keduanya. Dengan ECR ke ECR PTC, Anda dapat mendorong gambar ke registri ECR Amazon utama Anda dan mengonfigurasi aturan pull through cache untuk menyimpan gambar di registri Amazon ECR hilir.
## Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache
Untuk menyimpan gambar di antara pendaftar Amazon ECR di berbagai AWS akun, buat peran IAM di akun hilir dan konfigurasikan kebijakan di bagian ini untuk memberikan izin berikut:
+ Amazon ECR memerlukan izin untuk menarik gambar dari registri ECR Amazon hulu atas nama Anda. Anda dapat memberikan izin ini dengan membuat peran IAM dan kemudian menentukannya dalam aturan cache tarik melalui Anda.
+ Pemilik registri hulu juga harus memberikan pemilik registri cache dengan izin yang diperlukan untuk menarik gambar ke kebijakan sumber daya.
**Topics**
+ [Membuat peran IAM untuk menentukan izin cache tarik melalui](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [Membuat kebijakan Trust untuk peran IAM](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [Membuat kebijakan sumber daya di registri ECR Amazon hulu](#ecr-creating-registry-permissions-policy-in-upstream-registry)
### Membuat peran IAM untuk menentukan izin cache tarik melalui
Contoh berikut menunjukkan kebijakan izin yang memberikan izin peran IAM untuk menarik gambar dari registri ECR Amazon hulu atas nama Anda. Saat Amazon ECR mengambil peran tersebut, Amazon akan menerima izin yang ditentukan dalam kebijakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"ecr:BatchImportUpstreamImage",
"ecr:BatchGetImage",
"ecr:GetImageCopyStatus",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource": "*"
}
]
}
```
------
### Membuat kebijakan Trust untuk peran IAM
Contoh berikut menunjukkan kebijakan kepercayaan yang mengidentifikasi cache penarikan ECR Amazon sebagai prinsip AWS layanan yang dapat mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pullthroughcache.ecr.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Membuat kebijakan sumber daya di registri ECR Amazon hulu
Pemilik registri Amazon ECR hulu juga harus menambahkan kebijakan registri atau kebijakan repositori untuk memberikan pemilik registri hilir izin yang diperlukan untuk melakukan tindakan berikut.
**catatan**
Kebijakan sumber daya berikut hanya diperlukan untuk penarikan ECR **lintas akun** ke ECR melalui konfigurasi cache. Untuk cache penarikan **lintas wilayah dengan akun yang sama**, Anda hanya memerlukan kebijakan peran IAM dan kebijakan kepercayaan yang ditampilkan di bagian sebelumnya. Izin utama akun root tidak diperlukan ketika pendaftar hulu dan hilir berada di akun yang sama. AWS
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchImportUpstreamImage",
"ecr:GetImageCopyStatus"
],
"Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```
# Membuat aturan cache tarik melalui di Amazon ECR
Untuk setiap registri upstream yang berisi gambar yang ingin Anda cache di registri pribadi Amazon ECR Anda, Anda harus membuat aturan cache pull through.
Untuk registrasi upstream yang memerlukan otentikasi dengan rahasia, Anda harus menyimpan kredensialnya dalam rahasia Secrets Manager. Anda dapat menggunakan rahasia yang ada atau membuat rahasia bersama baru. Anda dapat membuat rahasia Secrets Manager di konsol Amazon ECR atau konsol Secrets Manager. Untuk membuat rahasia Secrets Manager menggunakan konsol Secrets Manager alih-alih konsol Amazon ECR, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
## Prasyarat
+ Verifikasi bahwa Anda memiliki izin IAM yang tepat untuk membuat aturan pull through cache. Untuk informasi, lihat [Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR](pull-through-cache-iam.md).
+ Untuk pendaftar upstream yang memerlukan otentikasi dengan rahasia: Jika Anda ingin menggunakan rahasia yang ada, verifikasi bahwa rahasia Secrets Manager memenuhi persyaratan berikut:
+ Nama rahasia dimulai dengan`ecr-pullthroughcache/`. Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan `ecr-pullthroughcache/` awalan.
+ Akun dan Wilayah tempat rahasianya berada harus sesuai dengan akun dan Wilayah tempat aturan pull through cache berada.
## Untuk membuat aturan pull through cache (Konsol Manajemen AWS)
Langkah-langkah berikut menunjukkan cara membuat aturan cache pull through dan rahasia Secrets Manager menggunakan konsol Amazon ECR. Untuk membuat rahasia menggunakan konsol Secrets Manager, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
### Untuk Amazon ECR Public, registri kontainer Kubernetes, atau Quay
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. **Pada **Langkah 1: Tentukan halaman sumber**, untuk **Registry**, pilih Amazon ECR Public, Kubernetes, atau Quay dari daftar registri upstream dan kemudian pilih Next.**
1. **Pada **Langkah 2: Tentukan halaman tujuan**, untuk awalan **repositori Amazon ECR, tentukan awalan** namespace repositori yang akan digunakan saat menyimpan gambar yang ditarik dari registri publik sumber dan kemudian pilih Berikutnya.** Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 3: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk Docker Hub
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman sumber**, untuk **Registry**, pilih **Docker Hub**, **Next**.
1. Pada **Langkah 2: Konfigurasikan halaman otentikasi**, untuk kredensyal **Upstream, Anda harus menyimpan kredensyal** otentikasi Anda untuk Docker Hub secara rahasia. AWS Secrets Manager Anda dapat menentukan rahasia yang ada atau menggunakan konsol Amazon ECR untuk membuat rahasia baru.
1. Untuk menggunakan rahasia yang ada, pilih **Gunakan AWS rahasia yang ada**. Untuk **nama Rahasia** gunakan drop-down untuk memilih rahasia yang ada, lalu pilih **Berikutnya**.
**catatan**
Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan. Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
1. Untuk membuat rahasia baru, pilih **Buat AWS rahasia**, lakukan hal berikut, lalu pilih **Berikutnya**.
1. Untuk **nama Rahasia**, tentukan nama deskriptif untuk rahasia tersebut. Nama rahasia harus berisi 1-512 karakter Unicode.
1. Untuk email **Docker Hub, tentukan email** Docker Hub Anda.
1. Untuk **token akses Docker Hub, tentukan token akses** Docker Hub Anda. Untuk informasi selengkapnya tentang membuat token akses Docker Hub, lihat [Membuat dan mengelola token akses](https://docs.docker.com/security/for-developers/access-tokens/) dalam dokumentasi Docker.
1. **Pada **Langkah 3: Tentukan halaman tujuan**, untuk **awalan repositori Amazon ECR**, tentukan namespace repositori yang akan digunakan saat menyimpan gambar yang ditarik dari registri publik sumber dan kemudian pilih Berikutnya.**
Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk Registri GitHub Kontainer
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman sumber**, untuk **Registry, pilih Registry GitHub ** **Container**, **Next**.
1. Pada **Langkah 2: Konfigurasikan halaman otentikasi**, untuk kredensyal **Upstream, Anda harus menyimpan kredensyal** otentikasi Anda untuk Container Registry secara rahasia. GitHub AWS Secrets Manager Anda dapat menentukan rahasia yang ada atau menggunakan konsol Amazon ECR untuk membuat rahasia baru.
1. Untuk menggunakan rahasia yang ada, pilih **Gunakan AWS rahasia yang ada**. Untuk **nama Rahasia** gunakan drop-down untuk memilih rahasia yang ada, lalu pilih **Berikutnya**.
**catatan**
Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan. Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
1. Untuk membuat rahasia baru, pilih **Buat AWS rahasia**, lakukan hal berikut, lalu pilih **Berikutnya**.
1. Untuk **nama Rahasia**, tentukan nama deskriptif untuk rahasia tersebut. Nama rahasia harus berisi 1-512 karakter Unicode.
1. Untuk **nama pengguna GitHub Container Registry**, tentukan nama pengguna GitHub Container Registry Anda.
1. Untuk **token akses GitHub Container Registry, tentukan token** akses GitHub Container Registry Anda. Untuk informasi selengkapnya tentang membuat token GitHub akses, lihat [Mengelola token akses pribadi Anda](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens) dalam GitHub dokumentasi.
1. **Pada **Langkah 3: Tentukan halaman tujuan**, untuk **awalan repositori Amazon ECR**, tentukan namespace repositori yang akan digunakan saat menyimpan gambar yang ditarik dari registri publik sumber dan kemudian pilih Berikutnya.**
Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk Microsoft Azure Container Registry
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman sumber**, lakukan hal berikut.
1. Untuk **Registry**, pilih **Microsoft Azure Container** Registry
1. Untuk **URL registri Sumber**, tentukan nama registri kontainer Microsoft Azure Anda, lalu pilih **Berikutnya**.
**penting**
Anda hanya perlu menentukan awalan, karena `.azurecr.io` akhiran diisi atas nama Anda.
1. Pada **Langkah 2: Konfigurasikan halaman otentikasi**, untuk kredensyal **Upstream, Anda harus menyimpan kredensyal** otentikasi Anda untuk Microsoft Azure Container Registry secara rahasia. AWS Secrets Manager Anda dapat menentukan rahasia yang ada atau menggunakan konsol Amazon ECR untuk membuat rahasia baru.
1. Untuk menggunakan rahasia yang ada, pilih **Gunakan AWS rahasia yang ada**. Untuk **nama Rahasia** gunakan drop-down untuk memilih rahasia yang ada, lalu pilih **Berikutnya**.
**catatan**
Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan. Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
1. Untuk membuat rahasia baru, pilih **Buat AWS rahasia**, lakukan hal berikut, lalu pilih **Berikutnya**.
1. Untuk **nama Rahasia**, tentukan nama deskriptif untuk rahasia tersebut. Nama rahasia harus berisi 1-512 karakter Unicode.
1. Untuk nama pengguna **Microsoft Azure Container Registry, tentukan nama pengguna** Microsoft Azure Container Registry Anda.
1. Untuk token akses **Microsoft Azure Container Registry, tentukan token akses** Microsoft Azure Container Registry Anda. Untuk informasi selengkapnya tentang cara membuat token akses Microsoft Azure Container Registry, lihat [Membuat token - portal](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) di dokumentasi Microsoft Azure.
1. **Pada **Langkah 3: Tentukan halaman tujuan**, untuk **awalan repositori Amazon ECR**, tentukan namespace repositori yang akan digunakan saat menyimpan gambar yang ditarik dari registri publik sumber dan kemudian pilih Berikutnya.**
Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk Registri GitLab Kontainer
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman sumber**, untuk Registry, pilih Registry GitLab Container, Next.
1. Pada **Langkah 2: Konfigurasikan halaman otentikasi**, untuk kredensyal **Upstream, Anda harus menyimpan kredensyal** otentikasi Anda untuk Container Registry secara rahasia. GitLab AWS Secrets Manager Anda dapat menentukan rahasia yang ada atau menggunakan konsol Amazon ECR untuk membuat rahasia baru.
1. Untuk menggunakan rahasia yang ada, pilih **Gunakan AWS rahasia yang ada**. Untuk **nama Rahasia** gunakan drop-down untuk memilih rahasia yang ada, lalu pilih **Berikutnya**. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
**catatan**
Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan. Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
1. Untuk membuat rahasia baru, pilih **Buat AWS rahasia**, lakukan hal berikut, lalu pilih **Berikutnya**.
1. Untuk **nama Rahasia**, tentukan nama deskriptif untuk rahasia tersebut. Nama rahasia harus berisi 1-512 karakter Unicode.
1. Untuk **nama pengguna GitLab Container Registry**, tentukan nama pengguna GitLab Container Registry Anda.
1. Untuk **token akses GitLab Container Registry, tentukan token** akses GitLab Container Registry Anda. Untuk informasi selengkapnya tentang membuat token akses GitLab Container Registry, lihat [Token akses pribadi](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html)[, Token akses grup](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html), atau [Token akses Proyek](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html), dalam GitLab dokumentasi.
1. **Pada **Langkah 3: Tentukan halaman tujuan**, untuk **awalan repositori Amazon ECR**, tentukan namespace repositori yang akan digunakan saat menyimpan gambar yang ditarik dari registri publik sumber dan kemudian pilih Berikutnya.**
Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk registri pribadi Amazon ECR dalam akun Anda AWS
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah tempat Anda ingin mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman hulu**, untuk **Registry**, pilih **Amazon ECR Private** and **This** account. **Untuk **Wilayah**, pilih Wilayah untuk registri ECR Amazon hulu, lalu pilih Berikutnya.**
1. **Pada **Langkah 2: Tentukan halaman ruang nama**, untuk **Cache namespace**, pilih apakah akan membuat tarik melalui repositori cache dengan awalan **tertentu** atau tanpa awalan.** Jika Anda memilih **awalan tertentu**, Anda harus menentukan nama awalan yang akan digunakan sebagai bagian dari namespace untuk menyimpan gambar dari registri hulu.
1. Untuk **namespace Upstream**, pilih apakah akan menarik dari **awalan tertentu yang** ada di registri upstream. Jika Anda memilih **tidak ada awalan**, Anda dapat menarik dari repositori apa pun di registri hulu. **Tentukan awalan repositori upstream jika diminta, lalu pilih Berikutnya.**
**catatan**
Untuk mempelajari lebih lanjut tentang menyesuaikan cache dan ruang nama upstream, lihat. [Menyesuaikan awalan repositori untuk ECR ke ECR menarik cache](pull-through-cache-private-wildcards.md)
1. Pada **Langkah 3: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah-langkah ini untuk setiap penarikan cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk registri pribadi Amazon ECR dari akun lain AWS
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman hulu**, untuk **Registry**, pilih akun **Amazon ECR Private** dan **Cross**. Untuk **Wilayah**, pilih Wilayah untuk registri ECR Amazon hulu. **Untuk **Akun**, tentukan ID AWS akun untuk registri ECR Amazon hulu, lalu pilih Berikutnya.**
1. **Pada **Langkah 2: Tentukan halaman izin**, untuk peran **IAM, pilih peran** yang akan digunakan untuk tarik lintas akun melalui akses cache dan kemudian pilih Buat.**
**catatan**
Pastikan Anda memilih peran IAM yang menggunakan izin yang dibuat. [Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache](pull-through-cache-private.md#pull-through-cache-private-permissions)
1. **Pada **Langkah 3: Tentukan halaman ruang nama**, untuk **Cache namespace**, pilih apakah akan membuat tarik melalui repositori cache dengan awalan **tertentu** atau tanpa awalan.** Jika Anda memilih **awalan tertentu**, Anda harus menentukan nama awalan yang akan digunakan sebagai bagian dari namespace untuk menyimpan gambar dari registri hulu.
1. Untuk **namespace Upstream**, pilih apakah akan menarik dari **awalan tertentu yang** ada di registri upstream. Jika Anda memilih **tidak ada awalan**, Anda dapat menarik dari repositori apa pun di registri hulu. **Tentukan awalan repositori upstream jika diminta, lalu pilih Berikutnya.**
**catatan**
Untuk mempelajari lebih lanjut tentang menyesuaikan cache dan ruang nama upstream, lihat. [Menyesuaikan awalan repositori untuk ECR ke ECR menarik cache](pull-through-cache-private-wildcards.md)
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah-langkah ini untuk setiap penarikan cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
### Untuk Registri Chainguard
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pengaturan registri pribadi Anda.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Tarik melalui cache**, pilih **Tambahkan aturan**.
1. Pada **Langkah 1: Tentukan halaman sumber**, untuk Registry, pilih Chainguard Registry, Next.
1. Pada **Langkah 2: Konfigurasikan halaman otentikasi**, untuk kredensyal **Upstream, Anda harus menyimpan kredensyal** otentikasi Anda untuk Chainguard Registry secara rahasia. AWS Secrets Manager Anda dapat menentukan rahasia yang ada atau menggunakan konsol Amazon ECR untuk membuat rahasia baru.
1. Untuk menggunakan rahasia yang ada, pilih **Gunakan AWS rahasia yang ada**. Untuk **nama Rahasia** gunakan drop-down untuk memilih rahasia yang ada, lalu pilih **Berikutnya**. Untuk informasi selengkapnya tentang membuat rahasia Secrets Manager menggunakan konsol Secrets Manager, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
**catatan**
Konsol Manajemen AWS Satu-satunya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan. Rahasianya juga harus berada di akun dan Wilayah yang sama tempat aturan pull through cache dibuat.
1. Untuk membuat rahasia baru, pilih **Buat AWS rahasia**, lakukan hal berikut, lalu pilih **Berikutnya**.
1. Untuk **nama Rahasia**, tentukan nama deskriptif untuk rahasia tersebut. Nama rahasia harus berisi 1-512 karakter Unicode.
1. Untuk nama pengguna **Chainguard Registry, tentukan nama pengguna Registry** Chainguard Anda.
1. Untuk token tarik **Chainguard Registry, tentukan token tarik** Chainguard Registry Anda. Untuk informasi selengkapnya tentang membuat token tarik Chainguard Registry, lihat [Mengautentikasi dengan Token Tarik](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token) di dokumentasi Chainguard.
1. **Pada **Langkah 3: Tentukan halaman tujuan**, untuk **awalan repositori Amazon ECR, tentukan namespace repositori** yang akan digunakan saat menyimpan gambar yang ditarik dari registri sumber dan kemudian pilih Berikutnya.**
Secara default, namespace diisi tetapi namespace khusus dapat ditentukan juga.
1. Pada **Langkah 4: Tinjau dan buat** halaman, tinjau konfigurasi aturan pull through cache dan kemudian pilih **Create**.
1. Ulangi langkah sebelumnya untuk setiap pull through cache yang ingin Anda buat. Aturan pull through cache dibuat secara terpisah untuk setiap Wilayah.
## Untuk membuat aturan pull through cache (AWS CLI)
Gunakan AWS CLI perintah [create-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/create-pull-through-cache-rule.html) untuk membuat aturan cache pull through untuk registri pribadi Amazon ECR. Untuk registrasi upstream yang memerlukan otentikasi dengan rahasia, Anda harus menyimpan kredensialnya dalam rahasia Secrets Manager. Untuk membuat rahasia menggunakan konsol Secrets Manager, lihat[Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager](pull-through-cache-creating-secret.md).
Contoh berikut disediakan untuk setiap registri upstream yang didukung.
### Untuk Amazon ECR Publik
Contoh berikut membuat aturan cache pull through untuk registri Publik Amazon ECR. Ini menentukan awalan repositori`ecr-public`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `ecr-public/upstream-repository-name`
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix ecr-public \
--upstream-registry-url public.ecr.aws \
--region us-east-2
```
### Untuk Registri Kontainer Kubernetes
Contoh berikut membuat aturan pull through cache untuk registri publik Kubernetes. Ini menentukan awalan repositori`kubernetes`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `kubernetes/upstream-repository-name`
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix kubernetes \
--upstream-registry-url registry.k8s.io \
--region us-east-2
```
### Untuk Quay
Contoh berikut membuat aturan pull through cache untuk registri publik Quay. Ini menentukan awalan repositori`quay`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `quay/upstream-repository-name`
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix quay \
--upstream-registry-url quay.io \
--region us-east-2
```
### Untuk Docker Hub
Contoh berikut membuat aturan pull through cache untuk registri Docker Hub. Ini menentukan awalan repositori`docker-hub`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `docker-hub/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari rahasia yang berisi kredensyal Docker Hub Anda.
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix docker-hub \
--upstream-registry-url registry-1.docker.io \
--credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
--region us-east-2
```
### Untuk Registri GitHub Kontainer
Contoh berikut membuat aturan pull through cache untuk GitHub Container Registry. Ini menentukan awalan repositori`github`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `github/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari rahasia yang berisi kredenal Registri GitHub Penampung Anda.
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix github \
--upstream-registry-url ghcr.io \
--credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
--region us-east-2
```
### Untuk Microsoft Azure Container Registry
Contoh berikut membuat aturan pull through cache untuk Microsoft Azure Container Registry. Ini menentukan awalan repositori`azure`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `azure/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari rahasia yang berisi kredensyal Microsoft Azure Container Registry Anda.
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix azure \
--upstream-registry-url myregistry.azurecr.io \
--credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
--region us-east-2
```
### Untuk Registri GitLab Kontainer
Contoh berikut membuat aturan pull through cache untuk GitLab Container Registry. Ini menentukan awalan repositori`gitlab`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `gitlab/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari rahasia yang berisi kredenal Registri GitLab Penampung Anda.
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix gitlab \
--upstream-registry-url registry.gitlab.com \
--credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
--region us-east-2
```
### Untuk registri pribadi Amazon ECR dalam akun Anda AWS
Contoh berikut membuat aturan pull through cache untuk registri pribadi Amazon ECR untuk Lintas wilayah dalam akun yang sama AWS . Ini menentukan awalan repositori`ecr`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `ecr/upstream-repository-name`
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix ecr \
--upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
--region us-east-2
```
### Untuk registri pribadi Amazon ECR dari akun lain AWS
Contoh berikut membuat aturan pull through cache untuk registri pribadi Amazon ECR untuk Lintas wilayah dalam akun yang sama AWS . Ini menentukan awalan repositori`ecr`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `ecr/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari peran IAM dengan izin yang dibuat. [Membuat aturan cache tarik melalui di Amazon ECR](#pull-through-cache-creating-rule)
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix ecr \
--upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
--custom-role-arn arn:aws:iam::aws_account_id:role/example-role \
--region us-east-2
```
### Untuk Registri Chainguard
Contoh berikut membuat aturan pull through cache untuk Registry Chainguard. Ini menentukan awalan repositori`chainguard`, yang menghasilkan setiap repositori yang dibuat menggunakan aturan pull through cache untuk memiliki skema penamaan. `chainguard/upstream-repository-name` Anda harus menentukan Nama Sumber Daya Amazon (ARN) lengkap dari rahasia yang berisi kredenal Registri Chainguard Anda.
```
aws ecr create-pull-through-cache-rule \
--ecr-repository-prefix chainguard \
--upstream-registry-url cgr.dev \
--credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
--region us-east-2
```
## Langkah selanjutnya
Setelah Anda membuat aturan cache pull through, berikut ini adalah langkah-langkah selanjutnya:
+ Buat template pembuatan repositori. Template pembuatan repositori memberi Anda kontrol untuk menentukan pengaturan yang akan digunakan untuk repositori baru yang dibuat oleh Amazon ECR atas nama Anda selama tindakan pull through cache. Untuk informasi selengkapnya, lihat [Template untuk mengontrol repositori yang dibuat selama pull through cache, membuat saat push, atau tindakan replikasi](repository-creation-templates.md).
+ Validasi tarik Anda melalui aturan cache. Saat memvalidasi aturan pull through cache, Amazon ECR membuat koneksi jaringan dengan registri upstream, memverifikasi bahwa ia dapat mengakses rahasia Secrets Manager yang berisi kredensyal untuk registri upstream, dan otentikasi itu berhasil. Untuk informasi selengkapnya, lihat [Memvalidasi aturan pull through cache di Amazon ECR](pull-through-cache-working-validating.md).
+ Mulai gunakan aturan cache pull through Anda. Untuk informasi selengkapnya, lihat [Menarik gambar dengan aturan cache pull through di Amazon ECR](pull-through-cache-working-pulling.md).
# Memvalidasi aturan pull through cache di Amazon ECR
Setelah Anda membuat aturan cache pull through, untuk registri upstream yang memerlukan otentikasi, Anda dapat memvalidasi bahwa aturan tersebut berfungsi dengan baik. Saat memvalidasi aturan pull through cache, Amazon ECR membuat koneksi jaringan dengan registri upstream, memverifikasi bahwa ia dapat mengakses rahasia Secrets Manager yang berisi kredensyal untuk registri upstream, dan memverifikasi bahwa otentikasi berhasil.
Sebelum Anda mulai bekerja dengan aturan cache pull through Anda, verifikasi bahwa Anda memiliki izin IAM yang tepat. Untuk informasi selengkapnya, lihat [Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR](pull-through-cache-iam.md).
## Untuk memvalidasi aturan pull through cache ()Konsol Manajemen AWS
Langkah-langkah berikut menunjukkan cara memvalidasi aturan pull through cache menggunakan konsol Amazon ECR.
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah yang berisi aturan pull through cache untuk memvalidasi.
1. Di panel navigasi, pilih **Registri pribadi**, **Tarik cache**.
1. Pada halaman **konfigurasi Pull through cache**, pilih aturan pull through cache untuk memvalidasi. Kemudian, gunakan menu tarik-turun **Tindakan** dan pilih **Lihat detail**.
1. Pada halaman detail aturan cache pull through, gunakan menu tarik-turun **Tindakan** dan pilih **Verifikasi otentikasi.** Amazon ECR akan menampilkan spanduk dengan hasilnya.
1. Ulangi langkah-langkah ini untuk setiap pull through aturan cache yang ingin Anda validasi.
## Untuk memvalidasi aturan pull through cache ()AWS CLI
AWS CLI Perintah [validate-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/validate-pull-through-cache-rule.html) digunakan untuk memvalidasi aturan cache pull through untuk registri pribadi Amazon ECR. Contoh berikut menggunakan awalan `ecr-public` namespace. Ganti nilai itu dengan nilai awalan untuk aturan pull through cache untuk memvalidasi.
```
aws ecr validate-pull-through-cache-rule \
--ecr-repository-prefix ecr-public \
--region us-east-2
```
Dalam tanggapan, `isValid` parameter menunjukkan apakah validasi berhasil atau tidak. Jika`true`, Amazon ECR dapat mencapai registri hulu dan otentikasi berhasil. Jika`false`, ada masalah dan validasi gagal. `failure`Parameter menunjukkan penyebabnya.
# Menarik gambar dengan aturan cache pull through di Amazon ECR
Contoh berikut menunjukkan sintaks perintah untuk digunakan saat menarik gambar menggunakan aturan pull through cache. Jika Anda menerima kesalahan saat menarik gambar upstream menggunakan aturan cache pull through, lihat [Memecahkan masalah penarikan melalui cache di Amazon ECR](error-pullthroughcache.md) kesalahan yang paling umum dan cara mengatasinya.
Sebelum Anda mulai bekerja dengan aturan cache pull through Anda, verifikasi bahwa Anda memiliki izin IAM yang tepat. Untuk informasi selengkapnya, lihat [Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR](pull-through-cache-iam.md).
**catatan**
Contoh berikut menggunakan nilai namespace repositori Amazon ECR default yang digunakan. Konsol Manajemen AWS Pastikan Anda menggunakan URI repositori pribadi Amazon ECR yang telah dikonfigurasi.
## Untuk Amazon ECR Publik
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/ecr-public/repository_name/image_name:tag
```
## Registri kontainer Kubernetes
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/kubernetes/repository_name/image_name:tag
```
## dermaga
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/quay/repository_name/image_name:tag
```
## Hub Docker
Untuk gambar resmi Docker Hub:
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag
```
**catatan**
Untuk gambar resmi Docker Hub, `/library` awalan harus disertakan. Untuk semua repositori Docker Hub lainnya, Anda harus menghilangkan awalan. `/library`
Untuk semua gambar Docker Hub lainnya:
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/repository_name/image_name:tag
```
## GitHub Registri Kontainer
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/github/repository_name/image_name:tag
```
## Registri Kontainer Microsoft Azure
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/azure/repository_name/image_name:tag
```
## GitLab Registri Kontainer
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/gitlab/repository_name/image_name:tag
```
## Registri Chainguard
```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/chainguard/repository_name/image_name:tag
```
# Menyimpan kredensi repositori upstream Anda secara rahasia AWS Secrets Manager
Saat membuat aturan cache pull through untuk repositori upstream yang memerlukan otentikasi, Anda harus menyimpan kredensialnya dalam rahasia Secrets Manager. Mungkin ada biaya untuk menggunakan rahasia Secrets Manager. Untuk informasi selengkapnya, lihat [harga AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).
Prosedur berikut memandu Anda melalui cara membuat rahasia Secrets Manager untuk setiap repositori upstream yang didukung. Anda dapat secara opsional menggunakan alur kerja aturan create pull through cache di konsol Amazon ECR untuk membuat rahasia alih-alih membuat rahasia menggunakan konsol Secrets Manager. Untuk informasi selengkapnya, lihat [Membuat aturan cache tarik melalui di Amazon ECR](pull-through-cache-creating-rule.md).
------
#### [ Docker Hub ]
**Untuk membuat rahasia Secrets Manager untuk kredensyal Docker Hub Anda ()Konsol Manajemen AWS**Untuk membuat Secrets Manager secret (Konsol Manajemen AWS)
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Pada **pasangan kunci/nilai**, buat dua baris untuk kredensyal Docker Hub Anda. Anda dapat menyimpan hingga 65536 byte secara rahasia.
1. Untuk key/value pasangan pertama, tentukan `username` sebagai kunci dan nama pengguna Docker Hub Anda sebagai nilainya.
1. Untuk key/value pasangan kedua, tentukan `accessToken` sebagai kunci dan token akses Docker Hub Anda sebagai nilainya. Untuk informasi selengkapnya tentang membuat token akses Docker Hub, lihat [Membuat dan mengelola token akses](https://docs.docker.com/security/for-developers/access-tokens/) dalam dokumentasi Docker.
1. **Untuk **kunci Enkripsi**, pertahankan AWS KMS key nilai **aws/secretsmanager** default lalu pilih Berikutnya.** Tidak ada biaya untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *AWS Secrets Manager Panduan Pengguna*.
**penting**
Anda harus menggunakan kunci `aws/secretsmanager` enkripsi default untuk mengenkripsi rahasia Anda. Amazon ECR tidak mendukung penggunaan kunci terkelola pelanggan (CMK) untuk ini.
1. Pada halaman **Konfigurasi rahasia**, lakukan hal berikut.
1. Masukkan **nama Rahasia** deskriptif dan **Deskripsi**. Nama rahasia harus berisi 1-512 karakter Unicode dan diawali dengan. `ecr-pullthroughcache/`
**penting**
Amazon ECR Konsol Manajemen AWS hanya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan.
1. (Opsional) Di bagian **Tag**, tambahkan tag ke rahasia Anda. Untuk menandai strategi, lihat [Menandai rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.
1. (Opsional) Di **Izin sumber daya**, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih **Edit izin**. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
1. (Opsional) Dalam **rahasia Replikasi**, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih **Replikasi** rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat [Mereplikasi rahasia ke Wilayah lain](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Konfigurasi rotasi**, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*. Pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau detail rahasia Anda, lalu pilih **Store**.
Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.
------
#### [ GitHub Container Registry ]
**Untuk membuat rahasia Secrets Manager untuk kredensial Registry GitHub Container Anda ()Konsol Manajemen AWS**Untuk membuat Secrets Manager secret (Konsol Manajemen AWS)
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Dalam **pasangan kunci/nilai**, buat dua baris untuk kredensyal Anda GitHub . Anda dapat menyimpan hingga 65536 byte secara rahasia.
1. Untuk key/value pasangan pertama, tentukan `username` sebagai kunci dan GitHub nama pengguna Anda sebagai nilainya.
1. Untuk key/value pasangan kedua, tentukan `accessToken` sebagai kunci dan token GitHub akses Anda sebagai nilainya. Untuk informasi selengkapnya tentang membuat token GitHub akses, lihat [Mengelola token akses pribadi Anda](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens) dalam GitHub dokumentasi.
1. **Untuk **kunci Enkripsi**, pertahankan AWS KMS key nilai **aws/secretsmanager** default lalu pilih Berikutnya.** Tidak ada biaya untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *AWS Secrets Manager Panduan Pengguna*.
**penting**
Anda harus menggunakan kunci `aws/secretsmanager` enkripsi default untuk mengenkripsi rahasia Anda. Amazon ECR tidak mendukung penggunaan kunci terkelola pelanggan (CMK) untuk ini.
1. Pada halaman **Konfigurasi rahasia**, lakukan hal berikut:
1. Masukkan **nama Rahasia** deskriptif dan **Deskripsi**. Nama rahasia harus berisi 1-512 karakter Unicode dan diawali dengan. `ecr-pullthroughcache/`
**penting**
Amazon ECR Konsol Manajemen AWS hanya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan.
1. (Opsional) Di bagian **Tag**, tambahkan tag ke rahasia Anda. Untuk menandai strategi, lihat [Menandai rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.
1. (Opsional) Di **Izin sumber daya**, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih **Edit izin**. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
1. (Opsional) Dalam **rahasia Replikasi**, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih **Replikasi** rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat [Mereplikasi rahasia ke Wilayah lain](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Konfigurasi rotasi**, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*. Pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau detail rahasia Anda, lalu pilih **Store**.
Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.
------
#### [ Microsoft Azure Container Registry ]
**Untuk membuat rahasia Secrets Manager untuk kredensyal Microsoft Azure Container Registry Anda ()Konsol Manajemen AWS**Untuk membuat Secrets Manager secret (Konsol Manajemen AWS)
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Dalam **pasangan kunci/nilai**, buat dua baris untuk kredensyal Microsoft Azure Anda. Anda dapat menyimpan hingga 65536 byte secara rahasia.
1. Untuk key/value pasangan pertama, tentukan `username` sebagai kunci dan nama pengguna Microsoft Azure Container Registry Anda sebagai nilainya.
1. Untuk key/value pasangan kedua, tentukan `accessToken` sebagai kunci dan token akses Microsoft Azure Container Registry Anda sebagai nilainya. Untuk informasi selengkapnya tentang cara membuat token akses Microsoft Azure, lihat [Membuat token - portal](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) di dokumentasi Microsoft Azure.
1. **Untuk **kunci Enkripsi**, pertahankan AWS KMS key nilai **aws/secretsmanager** default lalu pilih Berikutnya.** Tidak ada biaya untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *AWS Secrets Manager Panduan Pengguna*.
**penting**
Anda harus menggunakan kunci `aws/secretsmanager` enkripsi default untuk mengenkripsi rahasia Anda. Amazon ECR tidak mendukung penggunaan kunci terkelola pelanggan (CMK) untuk ini.
1. Pada halaman **Konfigurasi rahasia**, lakukan hal berikut:
1. Masukkan **nama Rahasia** deskriptif dan **Deskripsi**. Nama rahasia harus berisi 1-512 karakter Unicode dan diawali dengan. `ecr-pullthroughcache/`
**penting**
Amazon ECR Konsol Manajemen AWS hanya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan.
1. (Opsional) Di bagian **Tag**, tambahkan tag ke rahasia Anda. Untuk menandai strategi, lihat [Menandai rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.
1. (Opsional) Di **Izin sumber daya**, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih **Edit izin**. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
1. (Opsional) Dalam **rahasia Replikasi**, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih **Replikasi** rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat [Mereplikasi rahasia ke Wilayah lain](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Konfigurasi rotasi**, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*. Pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau detail rahasia Anda, lalu pilih **Store**.
Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.
------
#### [ GitLab Container Registry ]
**Untuk membuat rahasia Secrets Manager untuk kredensial Registry GitLab Container Anda ()Konsol Manajemen AWS**Untuk membuat Secrets Manager secret (Konsol Manajemen AWS)
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Dalam **pasangan kunci/nilai**, buat dua baris untuk kredensyal Anda GitLab . Anda dapat menyimpan hingga 65536 byte secara rahasia.
1. Untuk key/value pasangan pertama, tentukan `username` sebagai kunci dan nama pengguna GitLab Container Registry Anda sebagai nilainya.
1. Untuk key/value pasangan kedua, tentukan `accessToken` sebagai kunci dan token akses GitLab Container Registry Anda sebagai nilainya. Untuk informasi selengkapnya tentang membuat token akses GitLab Container Registry, lihat [Token akses pribadi](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html)[, Token akses grup](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html), atau [Token akses Proyek](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html), dalam GitLab dokumentasi.
1. **Untuk **kunci Enkripsi**, pertahankan AWS KMS key nilai **aws/secretsmanager** default lalu pilih Berikutnya.** Tidak ada biaya untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *AWS Secrets Manager Panduan Pengguna*.
**penting**
Anda harus menggunakan kunci `aws/secretsmanager` enkripsi default untuk mengenkripsi rahasia Anda. Amazon ECR tidak mendukung penggunaan kunci terkelola pelanggan (CMK) untuk ini.
1. Pada halaman **Konfigurasi rahasia**, lakukan hal berikut:
1. Masukkan **nama Rahasia** deskriptif dan **Deskripsi**. Nama rahasia harus berisi 1-512 karakter Unicode dan diawali dengan. `ecr-pullthroughcache/`
**penting**
Amazon ECR Konsol Manajemen AWS hanya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan.
1. (Opsional) Di bagian **Tag**, tambahkan tag ke rahasia Anda. Untuk menandai strategi, lihat [Menandai rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.
1. (Opsional) Di **Izin sumber daya**, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih **Edit izin**. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
1. (Opsional) Dalam **rahasia Replikasi**, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih **Replikasi** rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat [Mereplikasi rahasia ke Wilayah lain](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Konfigurasi rotasi**, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*. Pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau detail rahasia Anda, lalu pilih **Store**.
Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.
------
#### [ Chainguard Registry ]
**Untuk membuat rahasia Secrets Manager untuk kredensi Chainguard Anda ()Konsol Manajemen AWS**Untuk membuat Secrets Manager secret (Konsol Manajemen AWS)
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, lakukan hal berikut.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Dalam **pasangan kunci/nilai**, buat dua baris untuk kredensyal Chainguard Anda. Anda dapat menyimpan hingga 65536 byte secara rahasia.
1. Untuk key/value pasangan pertama, tentukan `username` sebagai kunci dan nama pengguna Registry Chainguard Anda sebagai nilainya.
1. Untuk key/value pasangan kedua, tentukan `accessToken` sebagai kunci dan token akses Chainguard Registry Anda sebagai nilainya. Untuk informasi selengkapnya tentang membuat token tarik Chainguard Registry, lihat [Mengautentikasi dengan Token Tarik](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token) di dokumentasi Chainguard.
1. **Untuk **kunci Enkripsi**, pertahankan AWS KMS key nilai **aws/secretsmanager** default lalu pilih Berikutnya.** Tidak ada biaya untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di *AWS Secrets Manager Panduan Pengguna*.
**penting**
Anda harus menggunakan kunci `aws/secretsmanager` enkripsi default untuk mengenkripsi rahasia Anda. Amazon ECR tidak mendukung penggunaan kunci terkelola pelanggan (CMK) untuk ini.
1. Pada halaman **Konfigurasi rahasia**, lakukan hal berikut:
1. Masukkan **nama Rahasia** deskriptif dan **Deskripsi**. Nama rahasia harus berisi 1-512 karakter Unicode dan diawali dengan. `ecr-pullthroughcache/`
**penting**
Amazon ECR Konsol Manajemen AWS hanya menampilkan rahasia Secrets Manager dengan nama menggunakan `ecr-pullthroughcache/` awalan.
1. (Opsional) Di bagian **Tag**, tambahkan tag ke rahasia Anda. Untuk menandai strategi, lihat [Menandai rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.
1. (Opsional) Di **Izin sumber daya**, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih **Edit izin**. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan izin ke rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) di *Panduan AWS Secrets Manager Pengguna*.
1. (Opsional) Dalam **rahasia Replikasi**, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih **Replikasi** rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat [Mereplikasi rahasia ke Wilayah lain](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Konfigurasi rotasi**, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*. Pilih **Berikutnya**.
1. Pada halaman **Ulasan**, tinjau detail rahasia Anda, lalu pilih **Store**.
Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.
------
# Menyesuaikan awalan repositori untuk ECR ke ECR menarik cache
**Tarik aturan cache mendukung awalan repositori **ecr dan awalan repositori** hulu.** **Awalan repositori ecr adalah awalan** namespace repositori di registri cache Amazon ECR yang terkait dengan aturan. Semua repositori yang menggunakan awalan ini menjadi tarik melalui repositori berkemampuan cache untuk registri hulu yang ditentukan dalam aturan. Misalnya, awalan `prod` berlaku untuk semua repositori yang dimulai dengan. `prod/` Untuk menerapkan template ke semua repositori di registri Anda yang tidak memiliki aturan pull through cache terkait, gunakan `ROOT` sebagai awalan.
**penting**
Selalu ada asumsi `/` diterapkan pada akhir awalan. Jika Anda menentukan `ecr-public` sebagai awalan, Amazon ECR memperlakukannya sebagai. `ecr-public/`
**Awalan repositori upstream cocok dengan nama** repositori upstream. Secara default, ini diatur ke`ROOT`, yang memungkinkan pencocokan dengan repositori upstream apa pun. Anda dapat menyetel awalan **repositori upstream hanya ketika awalan** repositori Amazon ECR memiliki nilai non. `ROOT`
Tabel berikut menunjukkan pemetaan antara nama repositori cache dan nama repositori upstream berdasarkan konfigurasi awalan mereka dalam aturan pull through cache.
| Ruang nama cache | Namespace hulu | Hubungan pemetaan (repositori cache → repositori hulu) |
| --- | --- | --- |
| ecr-publik | ROOT (default) | `ecr-public/my-app/image1` → `my-app/image1` `ecr-public/my-app/image2` → `my-app/image2` |
| AKAR | AKAR | `my-app/image1` → `my-app/image1` |
| tim-a | tim-a | `team-a/myapp/image1` → `team-a/myapp/image1` |
| aplikasi saya | aplikasi hulu | `my-app/image1` → `upstream-app/image1` |
# Memecahkan masalah penarikan melalui cache di Amazon ECR
Saat menarik gambar upstream menggunakan aturan pull through cache, berikut ini adalah kesalahan paling umum yang mungkin Anda terima.
**Repositori tidak ada**
Kesalahan yang menunjukkan bahwa repositori tidak ada paling sering disebabkan oleh repositori yang tidak ada di registri pribadi Amazon ECR Anda atau `ecr:CreateRepository` izin yang tidak diberikan kepada prinsipal IAM yang menarik gambar hulu. Untuk mengatasi kesalahan ini, Anda harus memverifikasi bahwa URI repositori dalam perintah tarik Anda sudah benar, izin IAM yang diperlukan diberikan kepada prinsipal IAM yang menarik gambar upstream, atau bahwa repositori untuk gambar upstream yang akan didorong dibuat di registri pribadi Amazon ECR Anda sebelum melakukan penarikan gambar upstream. Untuk informasi selengkapnya tentang izin IAM yang diperlukan, lihat [Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR](pull-through-cache-iam.md)
Berikut ini adalah contoh kesalahan ini.
```
Error response from daemon: repository 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux not found: name unknown: The repository with name 'ecr-public/amazonlinux/amazonlinux' does not exist in the registry with id '111122223333'
```
**Gambar yang diminta tidak ditemukan**
Kesalahan yang menunjukkan bahwa gambar tidak dapat ditemukan paling sering disebabkan oleh gambar yang tidak ada di registri hulu atau `ecr:BatchImportUpstreamImage` izin yang tidak diberikan kepada kepala sekolah IAM yang menarik gambar hulu tetapi repositori sudah dibuat di registri pribadi Amazon ECR Anda. Untuk mengatasi kesalahan ini, Anda harus memverifikasi gambar hulu dan nama tag gambar sudah benar dan bahwa itu ada dan izin IAM yang diperlukan diberikan kepada prinsipal IAM yang menarik gambar hulu. Untuk informasi selengkapnya tentang izin IAM yang diperlukan, lihat. [Izin IAM diperlukan untuk menyinkronkan registri upstream dengan registri pribadi Amazon ECR](pull-through-cache-iam.md)
Berikut ini adalah contoh kesalahan ini.
```
Error response from daemon: manifest for 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest not found: manifest unknown: Requested image not found
```
**403 Terlarang saat menarik dari repositori Docker Hub**
Saat menarik dari repositori Docker Hub yang ditandai sebagai **Gambar Resmi Docker**, Anda harus menyertakan URI yang `/library/` Anda gunakan. Misalnya, `aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag`. Jika Anda menghilangkan gambar Resmi Docker Hub `/library/` untuk, `403 Forbidden` kesalahan akan dikembalikan saat Anda mencoba menarik gambar menggunakan aturan cache tarik. Untuk informasi selengkapnya, lihat [Menarik gambar dengan aturan cache pull through di Amazon ECR](pull-through-cache-working-pulling.md).
Berikut ini adalah contoh kesalahan ini.
```
Error response from daemon: failed to resolve reference "111122223333.dkr.ecr.us-west-2.amazonaws.com/docker-hub/amazonlinux:2023": pulling from host 111122223333.dkr.ecr.us-west-2.amazonaws.com failed with status code [manifests 2023]: 403 Forbidden
```