Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sincronizzazione di un registro upstream con un registro privato Amazon ECR
<a name="pull-through-cache"></a>

Utilizzando le regole pull through cache, puoi sincronizzare il contenuto di un registro upstream con il tuo registro privato Amazon ECR.

Amazon ECR attualmente supporta la creazione di regole pull through cache per i seguenti registri upstream:
+ Amazon ECR Public, registro delle immagini dei container Kubernetes e Quay (non richiede l'autenticazione)
+ Docker Hub, Microsoft Azure Container Registry, GitHub Container Registry, GitLab Container Registry e Chainguard Registry (richiede l'autenticazione con segreto) Gestione dei segreti AWS 
+ Amazon ECR (richiede l'autenticazione con ruolo AWS IAM)

Per GitLab Container Registry, Amazon ECR supporta la funzionalità pull through cache solo con GitLab l'offerta Software as a Service (SaaS). [Per ulteriori informazioni sull'utilizzo GitLab dell'offerta SaaS, consulta GitLab .com.](https://docs.gitlab.com/17.5/subscriptions/choosing_subscription/)

Per i registri upstream che richiedono l'autenticazione con segreti (come Docker Hub), è necessario archiviare le credenziali in un luogo segreto. Gestione dei segreti AWS Puoi utilizzare la console Amazon ECR per creare segreti di Secrets Manager per ogni registro upstream autenticato. Per ulteriori informazioni sulla creazione di un segreto di Secrets Manager utilizzando la console Secrets Manager, vedere[Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).

Per Amazon ECR, devi creare un ruolo IAM se i registri Amazon ECR upstream e downstream appartengono a un account diverso. AWS Per ulteriori informazioni sulla creazione di un ruolo IAM, consulta [Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account](pull-through-cache-private.md#pull-through-cache-private-permissions).

Dopo aver creato una regola pull through cache per il registro upstream, estrai un'immagine da quel registro upstream utilizzando l'URI del tuo registro privato Amazon ECR. Amazon ECR, quindi, crea un repository e memorizza l'immagine nella cache nel tuo registro privato. Per le richieste pull successive dell'immagine memorizzata nella cache con un determinato tag, Amazon ECR verifica la presenza di una nuova versione dell'immagine con quel tag specifico e tenta di aggiornare l'immagine nel registro privato almeno una volta ogni 24 ore.

## Modelli per la creazione di repository
<a name="pull-through-cache-respository-creation-template"></a>

Amazon ECR ha aggiunto il supporto per i modelli di creazione di repository, che ti consente di specificare le configurazioni iniziali per i nuovi repository creati da Amazon ECR per tuo conto utilizzando le regole pull through cache. Ogni modello contiene un prefisso dello spazio dei nomi del repository che viene utilizzato per abbinare i nuovi repository a un modello specifico. I modelli possono specificare la configurazione per tutte le impostazioni del repository, comprese le policy di accesso basate sulle risorse, l'immutabilità dei tag, la crittografia e le policy del ciclo di vita. Le impostazioni in un modello di creazione di repository vengono applicate solo durante la creazione del repository e non hanno alcun effetto sui repository esistenti o sui repository creati con altri metodi. Per ulteriori informazioni, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).

## Considerazioni sull'utilizzo delle regole pull through cache
<a name="pull-through-cache-considerations"></a>

Considera quanto segue quando utilizzi le regole pull through cache di Amazon ECR.
+ La creazione di regole di cache pull-through non è supportata nelle seguenti regioni.
  + Cina (Pechino) (`cn-north-1`)
  + Cina (Ningxia) (`cn-northwest-1`)
  + AWS GovCloud (Stati Uniti orientali) () `us-gov-east-1`
  + AWS GovCloud (Stati Uniti occidentali) () `us-gov-west-1`
+ AWS Lambda non supporta l'estrazione di immagini di container da Amazon ECR utilizzando una regola pull through cache.
+ Quando si estraggono immagini utilizzando la cache pull-through, gli endpoint del servizio FIPS di Amazon ECR non sono supportati la prima volta che viene estratta un'immagine. Tuttavia, l'utilizzo degli endpoint del servizio FIPS Amazon ECR funziona sui pull successivi.
+ Per i repository upstream che richiedono l'autenticazione, quando un'immagine viene estratta dall'URI del registro privato di Amazon ECR per la prima volta o per aggiornare la cache, i recuperi delle immagini vengono avviati dall'utente associato alle credenziali configurate nella regola pull through cache. I recuperi successivi restituiranno l'immagine direttamente dalla cache nel registro privato del cliente.
+ Per i repository upstream che non richiedono l'autenticazione, quando un'immagine viene recuperata tramite l'URI del registro privato di Amazon ECR, i recuperi delle immagini vengono avviati dagli indirizzi IP. AWS 
+ Quando un'immagine memorizzata nella cache viene estratta attraverso l'URI del registro privato di Amazon ECR, quest'ultimo controlla il repository upstream almeno una volta ogni 24 ore per verificare se la versione dell'immagine memorizzata nella cache è la più recente. Se è presente un'immagine più recente nel registro upstream, Amazon ECR tenta di aggiornare l'immagine memorizzata nella cache. Questo timer è basato sull'ultima estrazione dell'immagine memorizzata nella cache.
+ Se per qualsiasi motivo Amazon ECR non è in grado di aggiornare l'immagine dal registro upstream e l'immagine viene estratta, l'ultima immagine memorizzata nella cache verrà comunque estratta.
+ Quando crei il segreto di Secrets Manager contenente le credenziali del registro upstream, il nome del segreto deve utilizzare il prefisso `ecr-pullthroughcache/`. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.
+ Quando un'immagine multi-architettura viene estratta utilizzando una regola di cache pull-through, l'elenco manifesto e ogni immagine a cui fa riferimento nell'elenco manifesto vengono estratti nel repository Amazon ECR. Se si desidera estrarre solo un'architettura specifica, è possibile estrarre l'immagine utilizzando il digest dell'immagine o il tag associato all'architettura anziché il tag associato all'elenco manifesto.
+ Amazon ECR utilizza un ruolo IAM collegato ai servizi che fornisce le autorizzazioni necessarie ad Amazon ECR per creare per tuo conto il repository, recuperare il valore segreto di Secrets Manager per l'autenticazione e inviare l'immagine memorizzata nella cache. Il ruolo IAM collegato ai servizi viene creato automaticamente quando viene creata una regola di cache pull-through. Per ulteriori informazioni, consulta [Ruolo collegato ai servizi Amazon ECR per la cache pull-through](slr-pullthroughcache.md).
+ Per impostazione predefinita, il principale IAM che estrae l'immagine memorizzata nella cache dispone delle autorizzazioni concesse tramite la policy IAM. È possibile utilizzare la policy delle autorizzazioni del registro privato di Amazon ECR per definire ulteriormente le autorizzazioni di un'entità IAM. Per ulteriori informazioni, consulta [Utilizzo delle autorizzazioni di registro](pull-through-cache-iam.md#pull-through-cache-registry-permissions).
+ I repository Amazon ECR creati utilizzando il flusso di lavoro della cache pull-through vengono trattati come qualsiasi altro repository Amazon ECR. Sono supportate tutte le funzionalità del repository, come la replica e la scansione delle immagini.
+ Quando Amazon ECR crea un nuovo repository per tuo conto utilizzando un'azione di cache pull-through, al repository vengono applicate le impostazioni predefinite indicate di seguito, a meno che non esista un modello di creazione repository corrispondente. Puoi utilizzare un modello di creazione repository per definire le impostazioni applicate ai repository creati da Amazon ECR per tuo conto. Per ulteriori informazioni, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).
  + Immutabilità dei tag: l'immutabilità dei tag specifica se i tag di immagine possono essere sovrascritti. Per impostazione predefinita, i tag di immagine sono modificabili (possono essere sovrascritti). **È possibile modificare il comportamento dei tag configurando i filtri di esclusione dei tag nella casella di testo Esclusione **tag mutabile quando è selezionato Mutabile o nella casella di testo di esclusione** **dei tag **Immutabile** quando è selezionato Immutabile**.**
  + Crittografia: viene utilizzata la crittografia predefinita. `AES256`
  + Autorizzazioni del repository: omesse, non viene applicata alcuna politica di autorizzazione del repository.
  + Criteri relativi al ciclo di vita: omessi, non vengono applicati criteri relativi al ciclo di vita.
  + Tag delle risorse: omessi, non viene applicato alcun tag di risorsa.
+ L'attivazione dell'immutabilità dei tag di immagine per i repository utilizzando una regola di cache pull-through impedirà ad Amazon ECR di aggiornare le immagini utilizzando lo stesso tag.
+ Quando un'immagine viene estratta utilizzando la regola pull through cache per la prima volta, potrebbe essere necessario un percorso verso Internet. In alcune circostanze è necessario un percorso verso Internet, quindi è meglio impostare un percorso per evitare errori. Pertanto, se hai configurato Amazon ECR per utilizzare un'interfaccia che AWS PrivateLink utilizza un endpoint VPC, devi assicurarti che il primo pull abbia un percorso verso Internet. Un modo per farlo consiste nel creare una sottorete pubblica nello stesso VPC, con un gateway Internet, e quindi indirizzare tutto il traffico in uscita verso Internet dalla sottorete privata alla sottorete pubblica. I successivi recuperi di immagini che utilizzano la regola pull through cache non richiedono questa operazione. Per ulteriori informazioni, consulta [Opzioni di routing di esempio](https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.

# Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR
<a name="pull-through-cache-iam"></a>

Oltre alle autorizzazioni dell'API Amazon ECR necessarie per l'autenticazione in un registro privato e per l'invio e l'estrazione di immagini, sono necessarie le seguenti autorizzazioni aggiuntive per utilizzare efficacemente le regole di cache pull-through.
+ `ecr:CreatePullThroughCacheRule` – Concede l'autorizzazione per creare una nuova regola di cache pull-through. Questa autorizzazione deve essere concessa tramite una policy IAM basata sull'identità.
+ `ecr:BatchImportUpstreamImage`— Concede l'autorizzazione per recuperare l'immagine esterna e importarla nel registro privato. Questa autorizzazione può essere concessa utilizzando la policy delle autorizzazioni del registro privato, una policy IAM basata sull'identità o utilizzando la policy delle autorizzazioni del repository basate sulle risorse. Per ulteriori informazioni sull'uso delle autorizzazioni del repository, consulta [Politiche di repository privati in Amazon ECR](repository-policies.md).
+ `ecr:CreateRepository` – Concede l'autorizzazione per creare un repository in un registro privato. Questa autorizzazione è necessaria se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Questa autorizzazione può essere concessa da una policy IAM basata sull'identità o dalla policy delle autorizzazioni del registro privato.

## Utilizzo delle autorizzazioni di registro
<a name="pull-through-cache-registry-permissions"></a>

Le autorizzazioni del registro privato di Amazon ECR possono essere utilizzate per definire le autorizzazioni delle singole entità IAM per utilizzare la cache pull-through. Se un'entità IAM dispone di più autorizzazioni concesse da una policy IAM di quelle concesse dalla policy delle autorizzazioni del registro, la policy IAM ha la precedenza. Ad esempio, se a un utente sono state concesse autorizzazioni `ecr:*`, non occorrono altre autorizzazioni a livello di registro.

### Per creare una policy delle autorizzazioni del registro privato (Console di gestione AWS)
<a name="pull-through-cache-registry-permissions-console"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare l'istruzione delle autorizzazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Registry permissions (Autorizzazioni di registro)**.

1. Alla pagina **Registry permissions (Autorizzazioni di registro)**, scegli **Generate statement (Genera istruzione)**.

1. Per ogni istruzione delle policy di autorizzazione della cache pull-through che si desidera creare, procedi come segue.

   1. Per **Policy type (Tipo di policy)**, scegli **Pull through cache policy (Policy della cache pull-through)**.

   1. Per **Statement id (ID istruzione)**, inserisci un nome per la policy dell'istruzione della cache pull-through.

   1. Per **Entità IAM**, specifica gli utenti, i gruppi o i ruoli da includere nella policy.

   1. Per **Repository namespace (Spazio dei nomi del repository)**, seleziona la regola della cache pull-through a cui associare la policy.

   1. Per **Repository names (Nomi dei repository)**, specifica il nome di base del repository per cui applicare la regola. Ad esempio, se si desidera specificare il repository Amazon Linux su Amazon ECR Public, il nome del repository sarà `amazonlinux`.

### Per creare una policy delle autorizzazioni del registro privato (AWS CLI)
<a name="pull-through-cache-registry-permissions-cli"></a>

Usa il seguente AWS CLI comando per specificare le autorizzazioni del registro privato utilizzando. AWS CLI

1. Crea un file locale denominato `ptc-registry-policy.json` con il contenuto della policy del registro. L'esempio seguente concede l'autorizzazione `ecr-pull-through-cache-user` per creare un repository ed eseguire il pull di un'immagine da Amazon ECR Public, che è l'origine upstream associata alla regola cache pull-through creata precedentemente.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "PullThroughCacheFromReadOnlyRole",
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
         },
         "Action": [
           "ecr:CreateRepository",
           "ecr:BatchImportUpstreamImage"
         ],
         "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
       }
     ]
   }
   ```

------
**Importante**  
L'autorizzazione `ecr-CreateRepository` è necessaria solo se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Ad esempio, se l'operazione di creazione del repository e le operazioni di estrazione dell'immagine vengono eseguite da principali IAM separati come un amministratore e uno sviluppatore.

1. Utilizzare il [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)comando per impostare la politica del registro.

   ```
   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json
   ```

## Fasi successive
<a name="pull-through-cache-next-steps"></a>

Quando sei pronto a cominciare a utilizzare le regole di cache pull-through, attieniti ai passaggi seguenti.
+ Crea una regola di cache pull-through. Per ulteriori informazioni, consulta [Creazione di una regola pull through cache in Amazon ECR](pull-through-cache-creating-rule.md).
+ Crea un modello di creazione repository. Un modello di creazione repository ti consente di gestire la definizione delle impostazioni da utilizzare per i nuovi repository creati da Amazon ECR per tuo conto nel corso di un'operazione di estrazione di cache pull-through. Per ulteriori informazioni, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).

# Impostazione delle autorizzazioni per più account da ECR a ECR PTC
<a name="pull-through-cache-private"></a>

La funzionalità pull through cache da Amazon ECR ad Amazon ECR (da ECR a ECR) consente la sincronizzazione automatica delle immagini tra regioni, AWS account o entrambi. Con ECR to ECR PTC, puoi inviare immagini al registro Amazon ECR principale e configurare una regola pull through cache per memorizzare nella cache le immagini nei registri Amazon ECR downstream.

## Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account
<a name="pull-through-cache-private-permissions"></a>

Per memorizzare nella cache le immagini tra i registri Amazon ECR su AWS account diversi, crea un ruolo IAM nell'account downstream e configura le policy in questa sezione per fornire le seguenti autorizzazioni:
+ Amazon ECR necessita delle autorizzazioni per estrarre immagini dal registro Amazon ECR upstream per tuo conto. Puoi concedere queste autorizzazioni creando un ruolo IAM e poi specificandolo nella regola pull through cache. 
+ Il proprietario del registro a monte deve inoltre concedere al proprietario del registro di cache le autorizzazioni necessarie per inserire le immagini nelle politiche delle risorse.

**Topics**
+ [Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [Creazione di una politica di fiducia per il ruolo IAM](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [Creazione di una politica delle risorse nel registro Amazon ECR a monte](#ecr-creating-registry-permissions-policy-in-upstream-registry)

### Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache
<a name="ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache"></a>

L'esempio seguente mostra una politica di autorizzazioni che concede a un ruolo IAM l'autorizzazione a estrarre immagini dal registro Amazon ECR a monte per tuo conto. Quando Amazon ECR assume il ruolo, riceve le autorizzazioni specificate in questa politica.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Creazione di una politica di fiducia per il ruolo IAM
<a name="ecr-creating-a-trust-policy-for-the-iam-role"></a>

L'esempio seguente mostra una policy di fiducia che identifica il pull through cache di Amazon ECR come principale del AWS servizio che può assumere il ruolo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

### Creazione di una politica delle risorse nel registro Amazon ECR a monte
<a name="ecr-creating-registry-permissions-policy-in-upstream-registry"></a>

Il proprietario del registro Amazon ECR a monte deve inoltre aggiungere una politica di registro o una politica di repository per concedere al proprietario del registro a valle le autorizzazioni necessarie per eseguire le seguenti azioni. 

**Nota**  
La seguente politica delle risorse è richiesta solo per le configurazioni di pull through cache da ECR a ECR **tra account**. Per la cache pull **through dello stesso account e tra più regioni,** sono necessarie solo la policy di ruolo IAM e la policy di fiducia mostrate nelle sezioni precedenti. L'autorizzazione principale dell'account root non è richiesta quando i registri upstream e downstream si trovano nello stesso account. AWS 

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```

# Creazione di una regola pull through cache in Amazon ECR
<a name="pull-through-cache-creating-rule"></a>

Per ogni registro upstream contenente immagini che desideri memorizzare nella cache nel tuo registro privato Amazon ECR, devi creare una regola pull through cache.

Per i registri upstream che richiedono l'autenticazione con segreti, è necessario memorizzare le credenziali in un segreto di Secrets Manager. È possibile utilizzare un segreto esistente o crearne uno nuovo. Puoi creare il segreto di Secrets Manager nella console Amazon ECR o nella console Secrets Manager. Per creare un segreto di Secrets Manager utilizzando la console Secrets Manager anziché la console Amazon ECR, consulta[Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).

## Prerequisiti
<a name="cache-rule-prereq"></a>
+ Verifica di disporre delle autorizzazioni IAM appropriate per creare regole pull through cache. Per informazioni, consulta [Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR](pull-through-cache-iam.md).
+ Per i registri upstream che richiedono l'autenticazione con segreti: se desideri utilizzare un segreto esistente, verifica che il segreto di Secrets Manager soddisfi i seguenti requisiti:
  + Il nome del segreto inizia con. `ecr-pullthroughcache/` Visualizza Console di gestione AWS solo i segreti di Secrets Manager con il `ecr-pullthroughcache/` prefisso.
  + L'account e la regione in cui si trova il segreto devono corrispondere all'account e alla regione in cui si trova la regola pull through cache.

## Per creare una regola di cache pull-through (Console di gestione AWS)
<a name="pull-through-cache-creating-rule-console"></a>

Nei passaggi seguenti viene illustrato come creare una regola di cache pull-through e un segreto di Secrets Manager tramite la console di Amazon ECR. Per creare un segreto utilizzando la console Secrets Manager, vedere[Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).

### Per Amazon ECR Public, il registro container Kubernetes o Quay
<a name="w2aac28c27b9b7b1"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella pagina **Passaggio 1: specifica un'origine**, per **Registro** seleziona Amazon ECR Public, Kubernetes o Quay dall'elenco dei registri upstream, quindi seleziona **Avanti**.

1. Nella pagina **Passaggio 2: specifica una destinazione**, per **Prefisso del repository Amazon ECR** specifica il prefisso dello spazio dei nomi del repository da utilizzare per la memorizzazione nella cache delle immagini estratte dal registro pubblico di origine, quindi seleziona **Avanti**. Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 3: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per Docker Hub
<a name="w2aac28c27b9b7b3"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nel **Passaggio 1: specifica un'origine**, per **Registro** seleziona **Docker Hub**, **Avanti**. 

1. Nella pagina **Passaggio 2: configura l'autenticazione**, per **Credenziali Upstream** devi archiviare le credenziali di autenticazione per Docker Hub in un segreto di Gestione dei segreti AWS . Puoi specificare un segreto esistente o utilizzare la console di Amazon ECR per crearne uno nuovo.

   1. Per utilizzare un segreto esistente, scegli **Usa un AWS segreto esistente**. Per **Nome del segreto**, utilizza il menu a discesa per selezionare il segreto esistente, quindi seleziona **Avanti**.
**Nota**  
Visualizza Console di gestione AWS solo i segreti di Secrets Manager i cui nomi utilizzano il `ecr-pullthroughcache/` prefisso. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

   1. Per creare un nuovo segreto, seleziona **Crea un segreto di AWS **, effettua le seguenti operazioni e seleziona **Avanti**.

      1. Per **Nome del segreto** specifica un nome descrittivo per il segreto. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512.

      1. Per l'e-mail di **Docker Hub, specifica la tua e-mail** Docker Hub.

      1. Per **Token di accesso Docker Hub** specifica il tuo token di accesso Docker Hub. Per ulteriori informazioni sulla creazione di un token di accesso Docker Hub, consulta [Creazione e gestione di token di accesso](https://docs.docker.com/security/for-developers/access-tokens/) nella documentazione di Docker.

1. Nella pagina **Passaggio 3: specifica una destinazione**, per **Prefisso del repository Amazon ECR** specifica lo spazio dei nomi del repository da utilizzare nel corso della memorizzazione nella cache delle immagini estratte dal registro pubblico di origine, quindi seleziona **Avanti**.

   Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per GitHub Container Registry
<a name="w2aac28c27b9b7b5"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella **Fase 1: Specificate una pagina sorgente**, per **Registro**, scegliete **GitHub Container Registry**, **Next**. 

1. Nella pagina **Passaggio 2: Configurazione dell'autenticazione**, per **le credenziali Upstream**, è necessario archiviare le credenziali di autenticazione per GitHub Container Registry in un luogo segreto. Gestione dei segreti AWS Puoi specificare un segreto esistente o utilizzare la console di Amazon ECR per crearne uno nuovo.

   1. Per utilizzare un segreto esistente, scegli **Usa un** segreto esistente. AWS Per **Nome del segreto**, utilizza il menu a discesa per selezionare il segreto esistente, quindi seleziona **Avanti**.
**Nota**  
Visualizza Console di gestione AWS solo i segreti di Secrets Manager i cui nomi utilizzano il `ecr-pullthroughcache/` prefisso. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

   1. Per creare un nuovo segreto, seleziona **Crea un segreto di AWS **, effettua le seguenti operazioni e seleziona **Avanti**.

      1. Per **Nome del segreto** specifica un nome descrittivo per il segreto. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512.

      1. Per il **nome utente del GitHub Container Registry**, specifica il tuo nome utente del GitHub Container Registry.

      1. Per il token di **accesso al GitHub Container Registry, specifica il token** di accesso al GitHub Container Registry. Per ulteriori informazioni sulla creazione di un token di GitHub accesso, consulta [Gestire i token di accesso personali](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens) nella GitHub documentazione.

1. Nella pagina **Passaggio 3: specifica una destinazione**, per **Prefisso del repository Amazon ECR** specifica lo spazio dei nomi del repository da utilizzare nel corso della memorizzazione nella cache delle immagini estratte dal registro pubblico di origine, quindi seleziona **Avanti**.

   Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per Microsoft Azure Container Registry
<a name="w2aac28c27b9b7b7"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella pagina **Passaggio 1: specifica un'origine**, procedi come segue.

   1. Per **Registro** seleziona **Microsoft Azure Container Registry**

   1. Per **URL registro di origine**, specifica il nome del registro dei container di Microsoft Azure, quindi seleziona **Avanti**.
**Importante**  
Poiché il suffisso `.azurecr.io` viene compilato per tuo conto, devi specificare solo il prefisso.

1. Nella pagina **Passaggio 2: configura l'autenticazione**, per **Credenziali Upstream** devi archiviare le credenziali di autenticazione per Microsoft Azure Container Registry in un segreto di Gestione dei segreti AWS . Puoi specificare un segreto esistente o utilizzare la console di Amazon ECR per crearne uno nuovo.

   1. Per utilizzare un segreto esistente, scegli **Usa un AWS segreto esistente**. Per **Nome del segreto**, utilizza il menu a discesa per selezionare il segreto esistente, quindi seleziona **Avanti**.
**Nota**  
Visualizza Console di gestione AWS solo i segreti di Secrets Manager i cui nomi utilizzano il `ecr-pullthroughcache/` prefisso. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

   1. Per creare un nuovo segreto, seleziona **Crea un segreto di AWS **, effettua le seguenti operazioni e seleziona **Avanti**.

      1. Per **Nome del segreto** specifica un nome descrittivo per il segreto. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512.

      1. Per **Nome utente di Microsoft Azure Container Registry**, specifica il tuo nome utente per Microsoft Azure Container Registry.

      1. Per **Token di accesso di Microsoft Azure Container Registry**, specifica il tuo token di accesso per Microsoft Azure Container Registry. Per ulteriori informazioni sulla creazione di un token di accesso per Microsoft Azure Container Registry, consulta [Creazione token - portale](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) nella documentazione di Microsoft Azure.

1. Nella pagina **Passaggio 3: specifica una destinazione**, per **Prefisso del repository Amazon ECR** specifica lo spazio dei nomi del repository da utilizzare nel corso della memorizzazione nella cache delle immagini estratte dal registro pubblico di origine, quindi seleziona **Avanti**.

   Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per GitLab Container Registry
<a name="w2aac28c27b9b7b9"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella **Fase 1: Specificate una pagina sorgente**, per Registro, scegliete GitLab Container Registry, Next.

1. Nella pagina **Passaggio 2: Configurazione dell'autenticazione**, per **le credenziali Upstream**, è necessario archiviare le credenziali di autenticazione per GitLab Container Registry in un luogo segreto. Gestione dei segreti AWS Puoi specificare un segreto esistente o utilizzare la console di Amazon ECR per crearne uno nuovo.

   1. Per utilizzare un segreto esistente, scegli **Usa un** segreto esistente. AWS Per **Nome del segreto**, utilizza il menu a discesa per selezionare il segreto esistente, quindi seleziona **Avanti**. Per ulteriori informazioni sulla creazione di un segreto di Secrets Manager utilizzando la console di Secrets Manager, consulta [Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).
**Nota**  
Visualizza Console di gestione AWS solo i segreti di Secrets Manager i cui nomi utilizzano il `ecr-pullthroughcache/` prefisso. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

   1. Per creare un nuovo segreto, seleziona **Crea un segreto di AWS **, effettua le seguenti operazioni e seleziona **Avanti**.

      1. Per **Nome del segreto** specifica un nome descrittivo per il segreto. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512.

      1. Per il **nome utente del GitLab Container Registry**, specifica il tuo nome utente del GitLab Container Registry.

      1. Per il token di **accesso al GitLab Container Registry, specifica il token** di accesso al GitLab Container Registry. Per ulteriori informazioni sulla creazione di un token di accesso al GitLab Container Registry, consulta [Token di accesso personali, token](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html) [di accesso di gruppo](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html) o [token di accesso al progetto](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html) nella documentazione. GitLab 

1. Nella pagina **Passaggio 3: specifica una destinazione**, per **Prefisso del repository Amazon ECR** specifica lo spazio dei nomi del repository da utilizzare nel corso della memorizzazione nella cache delle immagini estratte dal registro pubblico di origine, quindi seleziona **Avanti**.

   Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per il registro privato di Amazon ECR all'interno del tuo account AWS
<a name="ecr-to-pull-images-from-other-regions-within-your-account"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui desideri configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella **Fase 1: Specificate la pagina upstream**, per **Registro**, selezionate **Amazon ECR Private** e **Questo** account. **Per **Regione**, seleziona la regione per il registro Amazon ECR upstream, quindi scegli Avanti.**

1. ****Nella pagina **Step 2: Specificare gli spazi dei nomi**, per **Cache namespace**, scegli se creare repository pull through cache con un prefisso specifico o nessun prefisso.**** Se si seleziona **Un prefisso specifico, è necessario specificare un nome di prefisso** da utilizzare come parte dello spazio dei nomi per la memorizzazione nella cache delle immagini dal registro upstream.

1. Per lo spazio dei **nomi Upstream**, scegli se estrarre da **un** prefisso specifico presente nel registro upstream. Se non si seleziona **alcun prefisso**, è possibile estrarlo da qualsiasi archivio nel registro upstream. **Specificate il prefisso del repository upstream, se richiesto, quindi scegliete Avanti.**
**Nota**  
Per ulteriori informazioni sulla personalizzazione della cache e dei namespace upstream, consulta. [Personalizzazione dei prefissi del repository da ECR a ECR pull through cache](pull-through-cache-private-wildcards.md)

1. Nella pagina **Passaggio 3: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti questi passaggi per ogni pull through cache che desideri creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per il registro privato Amazon ECR da un altro account AWS
<a name="w2aac28c27b9b7c13"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella **Fase 1: Specificate la pagina upstream**, per **Registry**, scegliete **Amazon ECR Private** and **Cross** account. Per **Regione**, seleziona la regione per il registro Amazon ECR upstream. **Per **Account**, specifica l'ID AWS dell'account per il registro Amazon ECR a monte, quindi scegli Avanti.**

1. **Nella pagina **Step 2: Specificare le autorizzazioni**, per il **ruolo IAM**, seleziona un ruolo da utilizzare per l'accesso alla cache tra più account, quindi scegli Crea.**
**Nota**  
Assicurati di selezionare il ruolo IAM che utilizza le autorizzazioni create in. [Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account](pull-through-cache-private.md#pull-through-cache-private-permissions)

1. ****Nella pagina **Step 3: Specificare gli spazi dei nomi**, per **Cache namespace**, scegli se creare repository pull through cache con un prefisso specifico o nessun prefisso.**** Se si seleziona **Un prefisso specifico, è necessario specificare un nome di prefisso** da utilizzare come parte dello spazio dei nomi per la memorizzazione nella cache delle immagini dal registro upstream.

1. Per lo spazio dei **nomi Upstream**, scegli se estrarre da **un** prefisso specifico presente nel registro upstream. Se non si seleziona **alcun prefisso**, è possibile estrarlo da qualsiasi archivio nel registro upstream. **Specificate il prefisso del repository upstream, se richiesto, quindi scegliete Avanti.**
**Nota**  
Per ulteriori informazioni sulla personalizzazione della cache e dei namespace upstream, consulta. [Personalizzazione dei prefissi del repository da ECR a ECR pull through cache](pull-through-cache-private-wildcards.md)

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti questi passaggi per ogni pull through cache che desideri creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

### Per Chainguard Registry
<a name="w2aac28c27b9b7c15"></a>

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni del registro privato.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Pull through cache configuration (Configurazione della cache pull through)**, scegli **Add rule (Aggiungi regola)**.

1. Nella **Fase 1: Specificate una pagina sorgente**, per Registry, scegliete Chainguard Registry, Next.

1. Nel **Passaggio 2: Configurazione della pagina di autenticazione**, per **le credenziali Upstream, è necessario archiviare le credenziali** di autenticazione per Chainguard Registry in modo segreto. Gestione dei segreti AWS Puoi specificare un segreto esistente o utilizzare la console di Amazon ECR per crearne uno nuovo.

   1. **Per utilizzare un segreto esistente, scegli Usa un segreto esistente. AWS ** Per **Nome del segreto**, utilizza il menu a discesa per selezionare il segreto esistente, quindi seleziona **Avanti**. Per ulteriori informazioni sulla creazione di un segreto di Secrets Manager utilizzando la console di Secrets Manager, consulta [Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).
**Nota**  
Visualizza Console di gestione AWS solo i segreti di Secrets Manager i cui nomi utilizzano il `ecr-pullthroughcache/` prefisso. Il segreto, inoltre, deve trovarsi nello stesso account e nella stessa regione in cui è stata creata la regola di cache pull-through.

   1. Per creare un nuovo segreto, seleziona **Crea un segreto di AWS **, effettua le seguenti operazioni e seleziona **Avanti**.

      1. Per **Nome del segreto** specifica un nome descrittivo per il segreto. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512.

      1. Per il nome utente di **Chainguard Registry, specifica il tuo nome utente** Chainguard Registry.

      1. Per il pull token **Chainguard Registry, specifica il tuo token pull** Chainguard Registry. Per ulteriori informazioni sulla creazione di un token pull del registro Chainguard, consulta [Autenticazione con](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token) un token Pull nella documentazione di Chainguard.

1. **Nel **passaggio 3: Specificare una pagina di destinazione**, per il **prefisso del repository Amazon ECR**, specificare lo spazio dei nomi del repository da utilizzare per memorizzare nella cache le immagini estratte dal registro di origine e quindi scegliere Avanti.**

   Per impostazione predefinita, viene popolato uno spazio dei nomi ma è possibile specificare anche uno spazio dei nomi personalizzato.

1. Nella pagina **Passaggio 4: rivedi e crea**, esamina la configurazione della regola di cache pull-through, quindi seleziona **Crea**.

1. Ripeti il passaggio precedente per ogni cache pull-through da creare. Le regole della cache pull-through vengono create separatamente per ciascuna regione.

## Per creare una regola di cache pull-through (AWS CLI)
<a name="pull-through-cache-creating-rule-cli"></a>

Usa il AWS CLI comando [create-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/create-pull-through-cache-rule.html) per creare una regola pull through cache per un registro privato Amazon ECR. Per i registri upstream che richiedono l'autenticazione con segreti, è necessario memorizzare le credenziali in un segreto di Secrets Manager. Per creare un segreto utilizzando la console Secrets Manager, vedere[Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS](pull-through-cache-creating-secret.md).

Gli esempi seguenti sono forniti per ogni registro upstream supportato.

### Per Amazon ECR Public
<a name="w2aac28c27c11b7b1"></a>

L'esempio seguente crea una regola di cache pull-through per il registro pubblico di Amazon ECR. Specifica un prefisso di `ecr-public`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `ecr-public/upstream-repository-name`.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --upstream-registry-url public.ecr.aws \
     --region us-east-2
```

### Per Kubernetes Container Registry
<a name="w2aac28c27c11b7b3"></a>

L'esempio seguente crea una regola di cache pull through per il registro pubblico Kubernetes. Specifica un prefisso di `kubernetes`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `kubernetes/upstream-repository-name`.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix kubernetes \
     --upstream-registry-url registry.k8s.io \
     --region us-east-2
```

### Per Quay
<a name="w2aac28c27c11b7b5"></a>

L'esempio seguente crea una regola di cache pull-through per il registro pubblico Quay. Specifica un prefisso di `quay`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `quay/upstream-repository-name`.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix quay \
     --upstream-registry-url quay.io \
     --region us-east-2
```

### Per Docker Hub
<a name="w2aac28c27c11b7b7"></a>

L'esempio seguente crea una regola di cache pull-through per il registro Docker Hub. Specifica un prefisso di `docker-hub`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `docker-hub/upstream-repository-name`. Devi specificare nella sua interezza il nome della risorsa Amazon (ARN) del segreto contenente le credenziali di Docker Hub.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix docker-hub \
     --upstream-registry-url registry-1.docker.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Per Container Registry GitHub
<a name="w2aac28c27c11b7b9"></a>

L'esempio seguente crea una regola pull through cache per il GitHub Container Registry. Specifica un prefisso di `github`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `github/upstream-repository-name`. È necessario specificare l'Amazon Resource Name (ARN) completo del segreto contenente le credenziali del GitHub Container Registry.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix github \
     --upstream-registry-url ghcr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Per Microsoft Azure Container Registry
<a name="w2aac28c27c11b7c11"></a>

L'esempio seguente crea una regola pull through cache per il Microsoft Azure Container Registry. Specifica un prefisso di `azure`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `azure/upstream-repository-name`. Devi specificare nella sua interezza il nome della risorsa Amazon (ARN) del segreto contenente le credenziali di Microsoft Azure Container Registry.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix azure \
     --upstream-registry-url myregistry.azurecr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Per GitLab Container Registry
<a name="w2aac28c27c11b7c13"></a>

L'esempio seguente crea una regola pull through cache per il GitLab Container Registry. Specifica un prefisso di `gitlab`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `gitlab/upstream-repository-name`. È necessario specificare l'Amazon Resource Name (ARN) completo del segreto contenente le credenziali del GitLab Container Registry.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix gitlab \
     --upstream-registry-url registry.gitlab.com \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

### Per il registro privato di Amazon ECR all'interno del tuo account AWS
<a name="w2aac28c27c11b7c15"></a>

L'esempio seguente crea una regola pull through cache per il registro privato Amazon ECR per Cross-region all'interno dello stesso AWS account. Specifica un prefisso di `ecr`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `ecr/upstream-repository-name`. 

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr \
     --upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
     --region us-east-2
```

### Per il registro privato Amazon ECR da un altro account AWS
<a name="w2aac28c27c11b7c17"></a>

L'esempio seguente crea una regola pull through cache per il registro privato Amazon ECR per Cross-region all'interno dello stesso AWS account. Specifica un prefisso di `ecr`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `ecr/upstream-repository-name`. È necessario specificare l'Amazon Resource Name (ARN) completo del ruolo IAM con le autorizzazioni create in. [Creazione di una regola pull through cache in Amazon ECR](#pull-through-cache-creating-rule)

```
aws ecr create-pull-through-cache-rule \
 --ecr-repository-prefix ecr \
 --upstream-registry-url aws_account_id.dkr.ecr.region.amazonaws.com \
 --custom-role-arn arn:aws:iam::aws_account_id:role/example-role \
 --region us-east-2
```

### Per Chainguard Registry
<a name="w2aac28c27c11b7c19"></a>

L'esempio seguente crea una regola pull through cache per il registro Chainguard. Specifica un prefisso di `chainguard`, che fa sì che ciascun repository creato utilizzando la regola della cache pull-through abbia lo schema di denominazione di `chainguard/upstream-repository-name`. È necessario specificare l'Amazon Resource Name (ARN) completo del segreto contenente le credenziali del registro Chainguard.

```
aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix chainguard \
     --upstream-registry-url cgr.dev \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2
```

## Fasi successive
<a name="pull-through-cache-creating-rule-next-steps"></a>

Dopo aver creato le regole pull through cache, i passaggi successivi sono i seguenti:
+ Crea un modello di creazione repository. Un modello di creazione repository ti consente di gestire la definizione delle impostazioni da utilizzare per i nuovi repository creati da Amazon ECR per tuo conto nel corso di un'operazione di estrazione di cache pull-through. Per ulteriori informazioni, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).
+ Convalida le regole di cache pull-through. Durante la convalida di una regola cache di pull-through, Amazon ECR stabilisce una connessione di rete con il registro upstream, verifica di poter accedere al segreto di Secrets Manager contenente le credenziali del registro upstream e controlla che l'autenticazione sia avvenuta correttamente. Per ulteriori informazioni, consulta [Convalida delle regole pull through cache in Amazon ECR](pull-through-cache-working-validating.md).
+ Inizia a utilizzare le regole di cache pull-through. Per ulteriori informazioni, consulta [Estrazione di un'immagine con una regola pull through cache in Amazon ECR](pull-through-cache-working-pulling.md).

# Convalida delle regole pull through cache in Amazon ECR
<a name="pull-through-cache-working-validating"></a>

Dopo aver creato una regola pull through cache, per i registri upstream che richiedono l'autenticazione è possibile verificare che la regola funzioni correttamente. Durante la convalida di una regola pull through cache, Amazon ECR stabilisce una connessione di rete con il registro upstream, verifica di poter accedere al segreto di Secrets Manager contenente le credenziali per il registro upstream e verifica che l'autenticazione sia avvenuta correttamente.

Prima di iniziare a utilizzare le regole pull through cache, verifica di disporre delle autorizzazioni IAM appropriate. Per ulteriori informazioni, consulta [Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR](pull-through-cache-iam.md).

## Creazione di una regola di cache pull-through (Console di gestione AWS)
<a name="pull-through-cache-working-verifying-console"></a>

Nei seguenti passaggi viene illustrato come convalidare una regola di cache pull-through tramite la console di Amazon ECR.

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Dalla barra di navigazione seleziona la regione in cui si trova la regola di cache pull-through da convalidare.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**, **Pull through cache (Cache pull-through)**.

1. Nella pagina **Configurazione di cache pull-through**, seleziona la regola cache di pull-through da convalidare. Utilizza, quindi, il menu a discesa **Azioni** e seleziona **Visualizza dettagli**.

1. Nella pagina dei dettagli della regola cache di pull-through, utilizza il menu a discesa **Azioni** e seleziona **Verifica l'autenticazione**. Amazon ECR mostrerà un banner con il risultato.

1. Ripeti questi passaggi per ogni regola di cache pull-through da convalidare.

## Creazione di una regola di cache pull-through (AWS CLI)
<a name="pull-through-cache-working-verifying-cli"></a>

Il AWS CLI comando [validate-pull-through-cache-rule](https://docs.aws.amazon.com/cli/latest/reference/ecr/validate-pull-through-cache-rule.html) viene utilizzato per convalidare una regola pull through cache per un registro privato Amazon ECR. Nell'esempio seguente viene utilizzato il prefisso dello spazio dei nomi `ecr-public`. Sostituisci tale valore con il valore del prefisso per la convalida della regola di cache pull-through.

```
aws ecr validate-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --region us-east-2
```

Nella risposta, il parametro `isValid` indica se la convalida è riuscita. `true` indica che Amazon ECR è riuscito a raggiungere il registro upstream e che l'autenticazione è riuscita. `false` indica che si è verificato un problema e che la convalida non è riuscita. Il parametro `failure` indica la causa.

# Estrazione di un'immagine con una regola pull through cache in Amazon ECR
<a name="pull-through-cache-working-pulling"></a>

Gli esempi seguenti mostrano la sintassi del comando da utilizzare quando estrai un'immagine utilizzando una regola di cache pull-through. In caso di errore durante l'estrazione di un'immagine upstream utilizzando una regola di cache pull-through, consulta [Risoluzione dei problemi di pull through cache in Amazon ECR](error-pullthroughcache.md) per gli errori più comuni e come risolverli.

Prima di iniziare a utilizzare le regole pull through cache, verifica di disporre delle autorizzazioni IAM appropriate. Per ulteriori informazioni, consulta [Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR](pull-through-cache-iam.md).

**Nota**  
I seguenti esempi utilizzano i valori di namespace del repository Amazon ECR predefiniti utilizzati. Console di gestione AWS Assicurati di utilizzare l'URI del repository privato di Amazon ECR configurato.

## Per Amazon ECR Public
<a name="w2aac28c31b9b1"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/ecr-public/repository_name/image_name:tag
```

## Registro dei container Kubernetes
<a name="w2aac28c31b9b3"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/kubernetes/repository_name/image_name:tag
```

## Quay
<a name="w2aac28c31b9b5"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/quay/repository_name/image_name:tag
```

## Docker Hub
<a name="w2aac28c31b9b7"></a>

Per le immagini ufficiali di Docker Hub:

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag
```

**Nota**  
Per le immagini ufficiali di Docker Hub, il prefisso `/library` deve essere incluso. Per tutti gli altri repository di Docker Hub, è necessario omettere il prefisso `/library`.

Per tutte le altre immagini di Docker Hub:

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/repository_name/image_name:tag
```

## GitHub Registro dei contenitori
<a name="w2aac28c31b9b9"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/github/repository_name/image_name:tag
```

## Microsoft Azure Container Registry
<a name="w2aac28c31b9c11"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/azure/repository_name/image_name:tag
```

## GitLab Registro dei contenitori
<a name="w2aac28c31b9c13"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/gitlab/repository_name/image_name:tag
```

## Registro Chainguard
<a name="w2aac28c31b9c15"></a>

```
docker pull aws_account_id.dkr.ecr.region.amazonaws.com/chainguard/repository_name/image_name:tag
```

# Archiviazione segreta delle credenziali del repository originale Gestione dei segreti AWS
<a name="pull-through-cache-creating-secret"></a>

Quando crei una regola di cache pull-through per un repository upstream che richiede l'autenticazione, devi memorizzare le credenziali in un segreto di Secrets Manager. L'utilizzo di un segreto di Secrets Manager potrebbe essere soggetto a un costo. Per ulteriori informazioni, consultare [Prezzi di Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/pricing/).

Le procedure seguenti illustrano come creare un segreto di Secrets Manager per ogni repository upstream supportato. Anziché creare il segreto utilizzando la console di Secrets Manager, per creare il segreto puoi utilizzare anche il flusso di lavoro di creazione delle regole di cache pull-through nella console di Amazon ECR. Per ulteriori informazioni, consulta [Creazione di una regola pull through cache in Amazon ECR](pull-through-cache-creating-rule.md).

------
#### [ Docker Hub ]

**Creazione di un segreto di Secrets Manager per le credenziali di Docker Hub (Console di gestione AWS)**Creazione di un segreto di Secrets Manager con (Console di gestione AWS)

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**.

1. Nella pagina **Scegli tipo di segreto**, procedi come segue.

   1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).

   1. In **Coppie chiave/valore**, crea due righe per le tue credenziali di Docker Hub. Puoi archiviare fino a 65536 byte nel segreto.

      1. Per la prima key/value coppia, specifica `username` come chiave e il tuo nome utente Docker Hub come valore.

      1. Per la seconda key/value coppia, specifica `accessToken` come chiave e il token di accesso a Docker Hub come valore. Per ulteriori informazioni sulla creazione di un token di accesso di Docker Hub, consulta [Creazione e gestione di token di accesso](https://docs.docker.com/security/for-developers/access-tokens/) nella documentazione di Docker.

   1. Per **Chiave di crittografia**, mantieni il valore predefinito AWS KMS key **aws/secretsmanager**, quindi seleziona **Avanti**. L'utilizzo di questa chiave non prevede costi aggiuntivi. Per ulteriori informazioni, consulta [Crittografia e decrittografia del segreto in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
**Importante**  
Devi utilizzare la chiave di crittografia predefinita `aws/secretsmanager` per crittografare il tuo segreto. Per tale scopo, Amazon ECR non supporta l'utilizzo di una chiave gestita dal cliente (CMK).

1. Nella pagina **Configura il segreto**, procedi come segue.

   1. Inserisci un **Secret name** (Nome del segreto) e una **Description** (Descrizione) descrittivi. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512 e il prefisso `ecr-pullthroughcache/`.
**Importante**  
Amazon ECR visualizza Console di gestione AWS solo i segreti di Secrets Manager con nomi che utilizzano il `ecr-pullthroughcache/` prefisso.

   1. (Facoltativo) Nella sezione **Tags (Tag)** aggiungere tag al segreto. Per le strategie di applicazione di tag, consulta [Applicazione di tag ai segreti di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

   1. (Facoltativo) In **Permessi delle risorse**, per aggiungere una policy delle risorse al tuo segreto, scegli **Modifica delle autorizzazioni**. Per ulteriori informazioni, consulta [Collega una policy di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. **(Facoltativo) In **Replica segreto**, per replicare il tuo segreto su un altro Regione AWS, scegli Replica segreto.** Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta [Replica di un segreto per altre regioni](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. Scegli **Next (Successivo)**.

1. (Facoltativo) Nella pagina **Configure rotation** (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta [Rotazione di segreti su Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Scegli **Next (Successivo)**.

1. Nella pagina **Review (Revisione)**, rivedi i dettagli dei segreti e quindi scegli **Store (Archivia)**.

   Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

------
#### [ GitHub Container Registry ]

**Per creare un segreto di Secrets Manager per le credenziali del GitHub Container Registry ()Console di gestione AWS**Creazione di un segreto di Secrets Manager (Console di gestione AWS)

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**.

1. Nella pagina **Scegli tipo di segreto**, procedi come segue.

   1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).

   1. Nelle **coppie chiave/valore**, create due righe per le vostre GitHub credenziali. Puoi archiviare fino a 65536 byte nel segreto.

      1. Per la prima key/value coppia, specificate `username` come chiave e il vostro GitHub nome utente come valore.

      1. Per la seconda key/value coppia, specificate `accessToken` come chiave e il token di GitHub accesso come valore. Per ulteriori informazioni sulla creazione di un token di GitHub accesso, consulta [Gestire i token di accesso personali](https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens) nella GitHub documentazione.

   1. Per **Chiave di crittografia**, mantieni il valore predefinito AWS KMS key **aws/secretsmanager**, quindi seleziona **Avanti**. L'utilizzo di questa chiave non prevede costi aggiuntivi. Per ulteriori informazioni, consulta [Crittografia e decrittografia del segreto in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
**Importante**  
Devi utilizzare la chiave di crittografia predefinita `aws/secretsmanager` per crittografare il tuo segreto. Per tale scopo, Amazon ECR non supporta l'utilizzo di una chiave gestita dal cliente (CMK).

1. Nella pagina **Configure secret** (Configura il segreto), effettua le seguenti operazioni:

   1. Inserisci un **Secret name** (Nome del segreto) e una **Description** (Descrizione) descrittivi. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512 e il prefisso `ecr-pullthroughcache/`.
**Importante**  
Amazon ECR visualizza Console di gestione AWS solo i segreti di Secrets Manager con nomi che utilizzano il `ecr-pullthroughcache/` prefisso.

   1. (Facoltativo) Nella sezione **Tags (Tag)** aggiungere tag al segreto. Per le strategie di applicazione di tag, consulta [Applicazione di tag ai segreti di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

   1. (Facoltativo) In **Permessi delle risorse**, per aggiungere una policy delle risorse al tuo segreto, scegli **Modifica delle autorizzazioni**. Per ulteriori informazioni, consulta [Collega una policy di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. **(Facoltativo) In **Replica segreto**, per replicare il tuo segreto su un altro Regione AWS, scegli Replica segreto.** Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta [Replica di un segreto per altre regioni](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. Scegli **Next (Successivo)**.

1. (Facoltativo) Nella pagina **Configure rotation** (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta [Rotazione di segreti su Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Scegli **Next (Successivo)**.

1. Nella pagina **Review (Revisione)**, rivedi i dettagli dei segreti e quindi scegli **Store (Archivia)**.

   Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

------
#### [ Microsoft Azure Container Registry ]

**Creazione di un segreto di Secrets Manager per le credenziali di Microsoft Azure Container Registry (Console di gestione AWS)**Creazione di un segreto di Secrets Manager (Console di gestione AWS)

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**.

1. Nella pagina **Scegli tipo di segreto**, procedi come segue.

   1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).

   1. Per **Coppie chiave/valore** crea due righe per le tue credenziali di Microsoft Azure. Puoi archiviare fino a 65536 byte nel segreto.

      1. Per la prima key/value coppia, specificare `username` come chiave e il nome utente di Microsoft Azure Container Registry come valore.

      1. Per la seconda key/value coppia, specificare `accessToken` come chiave e il token di accesso a Microsoft Azure Container Registry come valore. Per ulteriori informazioni sulla creazione di un token di accesso per Microsoft Azure, consulta [Creazione token - portale](https://learn.microsoft.com/en-us/azure/container-registry/container-registry-repository-scoped-permissions#create-token---portal) nella documentazione di Microsoft Azure.

   1. Per **Chiave di crittografia**, mantieni il valore predefinito AWS KMS key **aws/secretsmanager**, quindi seleziona **Avanti**. L'utilizzo di questa chiave non prevede costi aggiuntivi. Per ulteriori informazioni, consulta [Crittografia e decrittografia del segreto in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
**Importante**  
Devi utilizzare la chiave di crittografia predefinita `aws/secretsmanager` per crittografare il tuo segreto. Per tale scopo, Amazon ECR non supporta l'utilizzo di una chiave gestita dal cliente (CMK).

1. Nella pagina **Configure secret** (Configura il segreto), effettua le seguenti operazioni:

   1. Inserisci un **Secret name** (Nome del segreto) e una **Description** (Descrizione) descrittivi. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512 e il prefisso `ecr-pullthroughcache/`.
**Importante**  
Amazon ECR visualizza Console di gestione AWS solo i segreti di Secrets Manager con nomi che utilizzano il `ecr-pullthroughcache/` prefisso.

   1. (Facoltativo) Nella sezione **Tags (Tag)** aggiungere tag al segreto. Per le strategie di applicazione di tag, consulta [Applicazione di tag ai segreti di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

   1. (Facoltativo) In **Permessi delle risorse**, per aggiungere una policy delle risorse al tuo segreto, scegli **Modifica delle autorizzazioni**. Per ulteriori informazioni, consulta [Collega una policy di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. **(Facoltativo) In **Replica segreto**, per replicare il tuo segreto su un altro Regione AWS, scegli Replica segreto.** Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta [Replica di un segreto per altre regioni](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. Scegli **Next (Successivo)**.

1. (Facoltativo) Nella pagina **Configure rotation** (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta [Rotazione di segreti su Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Scegli **Next (Successivo)**.

1. Nella pagina **Review (Revisione)**, rivedi i dettagli dei segreti e quindi scegli **Store (Archivia)**.

   Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

------
#### [ GitLab Container Registry ]

**Per creare un segreto di Secrets Manager per le credenziali del GitLab Container Registry ()Console di gestione AWS**Creazione di un segreto di Secrets Manager (Console di gestione AWS)

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**.

1. Nella pagina **Scegli tipo di segreto**, procedi come segue.

   1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).

   1. Nelle **coppie chiave/valore**, create due righe per le vostre GitLab credenziali. Puoi archiviare fino a 65536 byte nel segreto.

      1. Per la prima key/value coppia, specificate `username` come chiave e il nome utente del GitLab Container Registry come valore.

      1. Per la seconda key/value coppia, specificate `accessToken` come chiave e il token di accesso al GitLab Container Registry come valore. Per ulteriori informazioni sulla creazione di un token di accesso al GitLab Container Registry, consulta [Token di accesso personali, token](https://docs.gitlab.com/ee/user/profile/personal_access_tokens.html) [di accesso di gruppo](https://docs.gitlab.com/ee/user/group/settings/group_access_tokens.html) o [token di accesso al progetto](https://docs.gitlab.com/ee/user/project/settings/project_access_tokens.html) nella documentazione. GitLab 

   1. Per **Chiave di crittografia**, mantieni il valore predefinito AWS KMS key **aws/secretsmanager**, quindi seleziona **Avanti**. L'utilizzo di questa chiave non prevede costi aggiuntivi. Per ulteriori informazioni, consulta [Crittografia e decrittografia del segreto in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
**Importante**  
Devi utilizzare la chiave di crittografia predefinita `aws/secretsmanager` per crittografare il tuo segreto. Per tale scopo, Amazon ECR non supporta l'utilizzo di una chiave gestita dal cliente (CMK).

1. Nella pagina **Configure secret** (Configura il segreto), effettua le seguenti operazioni:

   1. Inserisci un **Secret name** (Nome del segreto) e una **Description** (Descrizione) descrittivi. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512 e il prefisso `ecr-pullthroughcache/`.
**Importante**  
Amazon ECR visualizza Console di gestione AWS solo i segreti di Secrets Manager con nomi che utilizzano il `ecr-pullthroughcache/` prefisso.

   1. (Facoltativo) Nella sezione **Tags (Tag)** aggiungere tag al segreto. Per le strategie di applicazione di tag, consulta [Applicazione di tag ai segreti di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

   1. (Facoltativo) In **Permessi delle risorse**, per aggiungere una policy delle risorse al tuo segreto, scegli **Modifica delle autorizzazioni**. Per ulteriori informazioni, consulta [Collega una policy di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. **(Facoltativo) In **Replica segreto**, per replicare il tuo segreto su un altro Regione AWS, scegli Replica segreto.** Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta [Replica di un segreto per altre regioni](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. Scegli **Next (Successivo)**.

1. (Facoltativo) Nella pagina **Configure rotation** (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta [Rotazione di segreti su Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Scegli **Next (Successivo)**.

1. Nella pagina **Review (Revisione)**, rivedi i dettagli dei segreti e quindi scegli **Store (Archivia)**.

   Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

------
#### [ Chainguard Registry ]

**Per creare un segreto di Secrets Manager per le tue credenziali Chainguard ()Console di gestione AWS**Creazione di un segreto di Secrets Manager (Console di gestione AWS)

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Scegli **Archivia un nuovo segreto**.

1. Nella pagina **Scegli tipo di segreto**, procedi come segue.

   1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).

   1. Nelle **coppie chiave/valore**, crea due righe per le tue credenziali Chainguard. Puoi archiviare fino a 65536 byte nel segreto.

      1. Per la prima key/value coppia, specifica `username` come chiave e il tuo nome utente Chainguard Registry come valore.

      1. Per la seconda key/value coppia, specifica `accessToken` come chiave e il token di accesso al registro Chainguard come valore. Per ulteriori informazioni sulla creazione di un token pull del registro Chainguard, consulta [Autenticazione con un token Pull](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-a-pull-token) nella documentazione di Chainguard.

   1. Per **Chiave di crittografia**, mantieni il valore predefinito AWS KMS key **aws/secretsmanager**, quindi seleziona **Avanti**. L'utilizzo di questa chiave non prevede costi aggiuntivi. Per ulteriori informazioni, consulta [Crittografia e decrittografia del segreto in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
**Importante**  
Devi utilizzare la chiave di crittografia predefinita `aws/secretsmanager` per crittografare il tuo segreto. Per tale scopo, Amazon ECR non supporta l'utilizzo di una chiave gestita dal cliente (CMK).

1. Nella pagina **Configure secret** (Configura il segreto), effettua le seguenti operazioni:

   1. Inserisci un **Secret name** (Nome del segreto) e una **Description** (Descrizione) descrittivi. I nomi dei segreti devono contenere un numero di caratteri Unicode compreso tra 1 e 512 e il prefisso `ecr-pullthroughcache/`.
**Importante**  
Amazon ECR visualizza Console di gestione AWS solo i segreti di Secrets Manager con nomi che utilizzano il `ecr-pullthroughcache/` prefisso.

   1. (Facoltativo) Nella sezione **Tags (Tag)** aggiungere tag al segreto. Per le strategie di applicazione di tag, consulta [Applicazione di tag ai segreti di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

   1. (Facoltativo) In **Permessi delle risorse**, per aggiungere una policy delle risorse al tuo segreto, scegli **Modifica delle autorizzazioni**. Per ulteriori informazioni, consulta [Collega una policy di autorizzazioni a un segreto di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. **(Facoltativo) In **Replica segreto**, per replicare il tuo segreto su un altro Regione AWS, scegli Replica segreto.** Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta [Replica di un segreto per altre regioni](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create-manage-multi-region-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.

   1. Scegli **Next (Successivo)**.

1. (Facoltativo) Nella pagina **Configure rotation** (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta [Rotazione di segreti su Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *. Scegli **Next (Successivo)**.

1. Nella pagina **Review (Revisione)**, rivedi i dettagli dei segreti e quindi scegli **Store (Archivia)**.

   Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

------

# Personalizzazione dei prefissi del repository da ECR a ECR pull through cache
<a name="pull-through-cache-private-wildcards"></a>

**Le regole pull through cache supportano sia il prefisso del repository **ecr che il prefisso del repository upstream**.** Il prefisso del **repository ecr è il prefisso** dello spazio dei nomi del repository nel registro di cache Amazon ECR associato alla regola. Tutti i repository che utilizzano questo prefisso diventano repository abilitati alla memorizzazione nella cache per il registro upstream definito nella regola. Ad esempio, il prefisso di si applica a tutti i repository che iniziano con. `prod` `prod/` Per applicare un modello a tutti i repository del registro a cui non è associata una regola pull through cache, usa `ROOT` come prefisso.

**Importante**  
Si presuppone che `/` venga sempre applicato alla fine del prefisso. Se specifichi `ecr-public` come prefisso, Amazon ECR lo considera come `ecr-public/`.

Il **prefisso del repository upstream corrisponde al nome del repository** upstream. Per impostazione predefinita, è impostato su, il che consente la corrispondenza con `ROOT` qualsiasi repository upstream. Puoi impostare il prefisso del **repository upstream solo quando il prefisso** del repository Amazon ECR non ha un valore. `ROOT`

La tabella seguente mostra la mappatura tra i nomi dei repository di cache e i nomi dei repository upstream in base alle relative configurazioni di prefisso nelle regole pull through cache.


|  Spazio dei nomi della cache  |  Spazio dei nomi upstream  |  Relazione di mappatura (cache repository → repository upstream)  | 
| --- | --- | --- | 
|  ecr-public  |  ROOT (impostazione predefinita)  |  `ecr-public/my-app/image1` → `my-app/image1` `ecr-public/my-app/image2` → `my-app/image2`  | 
|  RADICE  |  RADICE  |  `my-app/image1` → `my-app/image1`  | 
|  squadra-a  |  squadra-a  |  `team-a/myapp/image1` → `team-a/myapp/image1`  | 
|  la mia app  |  app upstream  |  `my-app/image1` → `upstream-app/image1`  | 

# Risoluzione dei problemi di pull through cache in Amazon ECR
<a name="error-pullthroughcache"></a>

Di seguito sono riportati gli errori più comuni che potresti ricevere durante l'estrazione di un'immagine upstream utilizzando una regola di cache pull-through.

**Il repository non esiste**  
Un errore che indica che il repository non esiste è spesso causato dal repository non esistente nel registro privato Amazon ECR o dall'autorizzazione `ecr:CreateRepository` non concessa al principale IAM che estrae l'immagine a monte. Per risolvere questo errore, è necessario verificare che l'URI del repository nel comando pull sia corretto, che le autorizzazioni IAM richieste siano concesse al principale IAM che estrae l'immagine upstream o che il repository per l'immagine upstream da inviare venga creato nel registro privato di Amazon ECR prima di estrarre l'immagine upstream. Per ulteriori informazioni sulle autorizzazioni IAM richieste, consulta [Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR](pull-through-cache-iam.md)  
Di seguito è illustrato un esempio di questo errore.  

```
Error response from daemon: repository 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux not found: name unknown: The repository with name 'ecr-public/amazonlinux/amazonlinux' does not exist in the registry with id '111122223333'
```

**L'immagine richiesta non è stata trovata**  
Un errore che indica che l'immagine non può essere trovata è spesso causato dall'immagine non esistente nel registro upstream o dall'autorizzazione `ecr:BatchImportUpstreamImage` non concessa al principale IAM che estrae l'immagine upstream ma il repository è già stato creato nel registro privato di Amazon ECR. Per risolvere questo errore, è necessario verificare che l'immagine upstream e il nome del tag immagine siano corretti e che esistano e che le autorizzazioni IAM richieste siano concesse al principale IAM che estrea l'immagine upstream. Per ulteriori informazioni sulle autorizzazioni IAM richieste, consulta [Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR](pull-through-cache-iam.md).  
Di seguito è illustrato un esempio di questo errore.  

```
Error response from daemon: manifest for 111122223333.dkr.ecr.us-east-1.amazonaws.com/ecr-public/amazonlinux/amazonlinux:latest not found: manifest unknown: Requested image not found
```

**403 Proibito quando si estrae da un repository Docker Hub**  
Quando estrai da un repository Docker Hub etichettato come **Docker Official Image**, devi includere `/library/` nell'URI utilizzato. Ad esempio, `aws_account_id.dkr.ecr.region.amazonaws.com/docker-hub/library/image_name:tag`. Se ometti l'opzione `/library/` for Docker Hub Official images, verrà restituito un `403 Forbidden` errore quando tenti di estrarre l'immagine utilizzando una regola pull through cache. Per ulteriori informazioni, consulta [Estrazione di un'immagine con una regola pull through cache in Amazon ECR](pull-through-cache-working-pulling.md).  
Di seguito è illustrato un esempio di questo errore.  

```
Error response from daemon: failed to resolve reference "111122223333.dkr.ecr.us-west-2.amazonaws.com/docker-hub/amazonlinux:2023": pulling from host 111122223333.dkr.ecr.us-west-2.amazonaws.com failed with status code [manifests 2023]: 403 Forbidden
```