Modelli per controllare i repository creati durante un'azione di pull through, cache o replica - Amazon ECR
Come funziona

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modelli per controllare i repository creati durante un'azione di pull through, cache o replica

Utilizza i modelli di creazione di ECR repository Amazon per definire le impostazioni per i repository creati da Amazon per tuo ECR conto. Le impostazioni in un modello di creazione di repository vengono applicate solo durante la creazione del repository e non hanno alcun effetto sui repository esistenti o sui repository creati con altri metodi. Attualmente, i modelli di creazione di repository possono essere utilizzati per applicare le impostazioni durante la creazione di repository per queste funzionalità:

  • Scorri la cache

  • Replica

I modelli di creazione di repository non sono supportati nelle seguenti regioni:

  • Cina (Pechino) (cn-north-1)

  • Cina (Ningxia) (cn-northwest-1)

  • AWS GovCloud (Stati Uniti orientali) () us-gov-east-1

  • AWS GovCloud (Stati Uniti occidentali) () us-gov-west-1

Funzionamento dei modelli di creazione di repository

A volte Amazon ECR deve creare un nuovo archivio privato per tuo conto. Per esempio:

  • La prima volta che utilizzi una regola pull through cache per recuperare il contenuto di un repository upstream e archiviarlo nel tuo registro privato AmazonECR.

  • Quando desideri che Amazon ECR replichi un repository in un'altra regione o account.

Quando non esiste un modello di creazione del repository che corrisponda alla regola pull through cache o al repository replicato, Amazon ECR utilizza le impostazioni predefinite per il nuovo repository. Queste impostazioni predefinite includono la disattivazione dell'immutabilità dei tag, l'utilizzo della crittografia AES-256 e la mancata applicazione di policy di repository o del ciclo di vita.

L'utilizzo di un modello di creazione di repository ti dà la possibilità di definire le impostazioni che Amazon ECR applica ai nuovi repository creati tramite le azioni pull through cache e di replica. Puoi definire l'immutabilità dei tag, la configurazione della crittografia, le autorizzazioni dei repository, la policy del ciclo di vita e i tag delle risorse per i nuovi repository.

Il diagramma seguente mostra il flusso di lavoro ECR utilizzato da Amazon quando un modello di creazione di repository viene utilizzato con un'azione pull through cache.

Una visualizzazione della modalità con cui i modelli di creazione repository vengono applicati ai nuovi repository.

Di seguito sono descritti in dettaglio i parametri di un modello di creazione repository.

Prefix

Il prefisso è il prefisso dello spazio dei nomi del repository da associare al modello. A tutti i repository creati utilizzando questo prefisso verranno applicate le impostazioni definite in questo modello. Ad esempio, il prefisso prod verrebbe applicato a tutti i repository che iniziano con prod/. Analogamente, il prefisso prod/team verrebbe applicato a tutti i repository che iniziano con prod/team/. In un registro contenente due modelli, se un modello ha il prefisso «prod» e l'altro ha il prefisso «prod/team», il modello con il prefisso «prod/team» verrà applicato a tutti i repository i cui nomi iniziano con «prod/team/».

Per applicare un modello a tutti i repository del registro a cui non è associato un modello di creazione, puoi utilizzare ROOT come prefisso.

Importante

Si presuppone che / venga sempre applicato alla fine del prefisso. Se lo specifichi ecr-public come prefisso, Amazon lo ECR considera come. ecr-public/ Quando utilizzi una regola di cache pull-through, il prefisso del repository specificato durante la creazione della regola è quello da specificare anche come prefisso del modello di creazione di repository.

Descrizione

Questa descrizione del modello è facoltativa e viene utilizzata per descrivere lo scopo del modello di creazione del repository.

Applicato per

L'impostazione Applied for determina quali repository ECR creati verranno creati con questo modello. I valori validi sono PULL_THROUGH_CACHE e REPLICATION. Ad esempio, la prima volta che utilizzi una regola pull through cache per recuperare il contenuto di un repository upstream e archiviarlo nel tuo registro privato AmazonECR. Quando non esiste un modello di creazione del repository che corrisponda alla tua regola pull through cache, Amazon ECR utilizza le impostazioni predefinite per il nuovo repository.

Ruolo di creazione del repository

Il ruolo di creazione di repository è un IAM ruolo ARN che verrà assunto da Amazon ECR durante la creazione e la configurazione di repository tramite modelli di creazione di repository. Questo ruolo deve essere fornito quando si utilizzano i tag del repository e/o KMS nel modello, altrimenti la creazione del repository avrà esito negativo.

Mutabilità dei tag immagine

L'impostazione di mutabilità dei tag da utilizzare per i repository creati utilizzando il modello. Se questo parametro viene omesso, MUTABLEverrà utilizzata l'impostazione predefinita di che consentirà la sovrascrittura dei tag di immagine. Questa è l'impostazione consigliata da utilizzare per i modelli utilizzati per i repository creati dalle azioni di cache pull-through. Ciò garantisce che Amazon ECR possa aggiornare le immagini memorizzate nella cache quando i tag sono gli stessi.

Se IMMUTABLEspecificato, tutti i tag di immagine all'interno del repository saranno immutabili, il che impedirà che vengano sovrascritti.

Configurazione della crittografia

La configurazione della crittografia da utilizzare per i repository creati utilizzando il modello.

Se si utilizza il tipo di KMScrittografia, il contenuto del repository verrà crittografato utilizzando la crittografia lato server con una chiave memorizzata in. AWS Key Management Service AWS KMS Quando lo utilizzi AWS KMS per crittografare i tuoi dati, puoi utilizzare la AWS KMS chiave AWS gestita predefinita per Amazon ECR o specificare la tua AWS KMS chiave, che hai già creato. Per ulteriori informazioni, consulta Protezione dei dati utilizzando la crittografia lato server con una AWS Key Management Service chiave memorizzata in AWS Key Management Service (SSE-KMS) nella Guida per l'utente di Amazon Simple Storage Service. Se utilizzi il tipo di KMScrittografia e lo utilizzi con la replica interregionale, potresti aver bisogno di autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Creazione di una politica KMS chiave per la replica.

Se utilizzi il tipo di AES256crittografia, Amazon ECR utilizza la crittografia lato server con chiavi di crittografia gestite da Amazon S3 che crittografa le immagini nel repository utilizzando un algoritmo di crittografia -256. AES Per ulteriori informazioni, consulta Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon Simple Storage Service.

Autorizzazioni del repository

La policy di repository da applicare ai repository creati utilizzando il modello. Una policy di repository utilizza autorizzazioni basate sulle risorse per controllare l'accesso a un repository. Le autorizzazioni basate sulle risorse consentono di specificare quali IAM utenti o ruoli hanno accesso a un repository e quali azioni possono eseguire su di esso. Per impostazione predefinita, solo l' AWS account che ha creato il repository ha accesso a un repository. È possibile applicare un documento di policy per concedere o negare autorizzazioni aggiuntive al repository. Per ulteriori informazioni, consulta la pagina

Policy del ciclo di vita del repository

La policy del ciclo di vita da utilizzare per i repository creati utilizzando il modello. Una policy del ciclo di vita offre un maggiore controllo sulla gestione del ciclo di vita delle immagini in un repository privato. Una policy sul ciclo di vita contiene una o più regole, in cui ogni regola definisce un'azione per Amazon. ECR Ciò consente di automatizzare la pulizia delle immagini dei container, facendo scadere le immagini in base all'età o al conteggio. Per ulteriori informazioni, consulta Automatizza la pulizia delle immagini utilizzando le politiche del ciclo di vita in Amazon ECR.

Tag delle risorse

I tag delle risorse sono metadati da applicare al repository per facilitarne la catalogazione e l’organizzazione. Ogni tag è composto da una chiave e da un valore opzionale, entrambi personalizzabili. Questa autorizzazione deve essere applicata alla politica del registro di destinazione se utilizzi modelli di creazione di repository con replica tra regioni.