Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR - Amazon ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR

Il tipo di policy tra più account viene usato per concedere le autorizzazioni a un'entità principale AWS , consentendo la replica dei repository da un registro di origine al tuo registro. Per impostazione predefinita, hai l'autorizzazione per configurare la replica tra regioni all'interno del tuo registro. È necessario configurare le policy di registro solo se si concede a un altro account l'autorizzazione per replicare il contenuto nel registro.

Una politica del registro deve concedere l'autorizzazione per l'azione. ecr:ReplicateImage API Si API tratta di un Amazon interno in ECR API grado di replicare immagini tra regioni o account. Puoi anche concedere l'ecr:CreateRepositoryautorizzazione, che consente ECR ad Amazon di creare repository nel tuo registro se non esistono già. Se l'autorizzazione ecr:CreateRepository non viene fornita, nel registro deve essere creato manualmente un repository con lo stesso nome del repository di origine. Se nessuno dei due viene creato, la replica ha esito negativo. Eventuali ReplicateImage API azioni CreateRepository o azioni non riuscite vengono visualizzate in CloudTrail.

  1. Apri la ECR console Amazon all'indirizzo https://console.aws.amazon.com/ecr/.

  2. Dalla barra di navigazione, scegli la regione in cui configurare la policy del registro.

  3. Nel pannello di navigazione, seleziona Private registry (Registro privato), Registry permissions (Autorizzazioni di registro).

  4. Alla pagina Registry permissions (Autorizzazioni di registro), scegli Generate statement (Genera istruzione).

  5. Per definire la tua istruzione di policy usando il generatore di policy, completa i seguenti passaggi.

    1. Per Policy Type (Tipo di policy), scegli Cross-account policy (Policy tra account).

    2. In Statement ID (ID istruzione), inserisci un ID istruzione univoco. Questo campo viene utilizzato come Sid sulle policy di registro.

    3. Per Account, inserisci l'account IDs per ogni account a cui desideri concedere le autorizzazioni. Quando specificate più accountIDs, separateli con una virgola.

  6. Espandere la sezione Preview policy statement (Istruzione di policy di anteprima) per esaminare l'istruzione delle policy delle autorizzazioni del registro.

  7. Una volta confermata la dichiarazione delle policy, scegliere Add to policy (Aggiungi alla policy) per salvare la policy nel registro.

  1. Creare un file denominato registry_policy.json e popolarlo con una policy di registro.

    { "Version":"2012-10-17", "Statement":[ { "Sid":"ReplicationAccessCrossAccount", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source_account_id:root" }, "Action":[ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": [ "arn:aws:ecr:us-west-2:your_account_id:repository/*" ] } ] }
  2. Creare le policy di registro utilizzando il file delle policy.

    aws ecr put-registry-policy \ --policy-text file://registry_policy.json \ --region us-west-2
  3. Recuperare le policy di registro da confermare.

    aws ecr get-registry-policy \ --region us-west-2