ECRPeran terkait layanan Amazon untuk menarik cache - Amazon ECR
Izin peran terkait layanan untuk Amazon ECRMembuat peran terkait layanan untuk Amazon ECRMengedit peran terkait layanan untuk Amazon ECRMenghapus peran terkait layanan untuk Amazon ECR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

ECRPeran terkait layanan Amazon untuk menarik cache

Amazon ECR menggunakan peran terkait layanan bernama AWSServiceRoleForECRPullThroughCacheyang memberikan izin bagi Amazon ECR untuk melakukan tindakan atas nama Anda guna menyelesaikan tindakan pull through cache. Untuk informasi selengkapnya tentang pull through cache, lihatTemplate untuk mengontrol repositori yang dibuat selama penarikan melalui cache atau tindakan replikasi.

Izin peran terkait layanan untuk Amazon ECR

Peran AWSServiceRoleForECRPullThroughCacheterkait layanan mempercayai layanan berikut untuk mengambil peran tersebut.

  • pullthroughcache.ecr.amazonaws.com

Detail izin

Kebijakan AWSECRPullThroughCache_ServiceRolePolicy izin dilampirkan ke peran terkait layanan. Kebijakan terkelola ini memberikan ECR izin Amazon untuk melakukan tindakan berikut. Untuk informasi selengkapnya, lihat AWSECRPullThroughCache_ServiceRolePolicy.

  • ecr— Memungkinkan ECR layanan Amazon untuk mendorong gambar ke repositori pribadi.

  • secretsmanager:GetSecretValue— Memungkinkan ECR layanan Amazon untuk mengambil konten rahasia yang dienkripsi. AWS Secrets Manager Ini diperlukan saat menggunakan aturan pull through cache untuk menyimpan gambar dari registri upstream yang memerlukan otentikasi di registri pribadi Anda. Izin ini hanya berlaku untuk rahasia dengan awalan ecr-pullthroughcache/ nama.

AWSECRPullThroughCache_ServiceRolePolicyKebijakan tersebut berisi yang berikut iniJSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (misalnya pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna. IAM

Membuat peran terkait layanan untuk Amazon ECR

Anda tidak perlu membuat peran ECR terkait layanan Amazon secara manual untuk menarik cache. Saat Anda membuat aturan pull through cache untuk registri pribadi Anda di AWS Management Console, the AWS CLI, atau AWS API, Amazon ECR membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran terkait layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda. Saat Anda membuat aturan cache pull through untuk registri pribadi Anda, Amazon ECR membuat peran terkait layanan untuk Anda lagi jika belum ada.

Mengedit peran terkait layanan untuk Amazon ECR

Amazon ECR tidak mengizinkan pengeditan peran AWSServiceRoleForECRPullThroughCacheterkait layanan secara manual. Setelah peran terkait layanan dibuat, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.

Menghapus peran terkait layanan untuk Amazon ECR

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus menghapus aturan pull through cache untuk registri Anda di setiap Wilayah sebelum Anda dapat menghapus peran terkait layanan secara manual.

catatan

Jika Anda mencoba menghapus sumber daya saat ECR layanan Amazon masih menggunakan peran tersebut, tindakan penghapusan Anda mungkin gagal. Jika hal tersebut terjadi, tunggu beberapa menit dan coba lagi.

Untuk menghapus ECR sumber daya Amazon yang digunakan oleh peran AWSServiceRoleForECRPullThroughCacheterkait layanan

  1. Buka ECR konsol Amazon di https://console.aws.amazon.com/ecr/.

  2. Dari bilah navigasi, pilih Wilayah tempat aturan cache tarik Anda dibuat.

  3. Di panel navigasi, pilih Registri pribadi.

  4. Pada halaman registri pribadi, pada bagian konfigurasi Tarik melalui cache, pilih Edit.

  5. Untuk setiap aturan pull through cache yang telah Anda buat, pilih aturan dan kemudian pilih Hapus aturan.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan IAM konsol, AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForECRPullThroughCacheterkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM