Memberikan izin registri untuk replikasi lintas akun di Amazon ECR - Amazon ECR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin registri untuk replikasi lintas akun di Amazon ECR

Jenis kebijakan lintas akun digunakan untuk memberikan izin kepada AWS prinsipal, memungkinkan replikasi repositori dari registri sumber ke registri Anda. Secara default, Anda memiliki izin untuk mengonfigurasi replikasi antar wilayah dalam registri Anda sendiri. Anda hanya perlu mengonfigurasi kebijakan registri jika Anda memberikan izin akun lain untuk mereplikasi konten ke registri Anda.

Kebijakan registri harus memberikan izin untuk ecr:ReplicateImage API tindakan tersebut. Ini API adalah Amazon internal ECR API yang dapat mereplikasi gambar antara Wilayah atau akun. Anda juga dapat memberikan izin untuk ecr:CreateRepository izin, yang memungkinkan Amazon ECR membuat repositori di registri Anda jika belum ada. Jika izin ecr:CreateRepository tidak diberikan, repositori dengan nama yang sama dengan repositori sumber harus dibuat secara manual di registri Anda. Jika keduanya tidak dilakukan, replikasi gagal. Gagal CreateRepository atau ReplicateImage API tindakan muncul di CloudTrail.

  1. Buka ECR konsol Amazon di https://console.aws.amazon.com/ecr/.

  2. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi kebijakan registri Anda.

  3. Di panel navigasi, pilih Registri pribadi, Izin registri.

  4. Pada halaman Izin registri, pilih Hasilkan pernyataan.

  5. Menyelesaikan langkah-langkah berikut untuk menentukan pernyataan kebijakan Anda menggunakan kebijakan generator.

    1. Untuk jenis Kebijakan, pilih Kebijakan lintas akun.

    2. Untuk ID Pernyataan, masukkan ID pernyataan unik. Bidang ini digunakan sebagai Sid pada kebijakan registri.

    3. Untuk Akun, masukkan akun IDs untuk setiap akun yang ingin Anda berikan izin. Saat menentukan beberapa akunIDs, pisahkan dengan koma.

  6. Perluas bagian Pernyataan kebijakan pratinjau untuk meninjau pernyataan kebijakan izin registri.

  7. Setelah pernyataan kebijakan dikonfirmasi, pilih Tambahkan ke kebijakan untuk menyimpan kebijakan ke registri Anda.

  1. Buat file bernama registry_policy.json dan isi dengan kebijakan registri.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Buat kebijakan registri menggunakan file kebijakan.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Ambil kebijakan untuk registri Anda untuk mengonfirmasi.

    aws ecr get-registry-policy \
      --region us-west-2