Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo collegato ai servizi Amazon ECR per la cache pull-through
<a name="slr-pullthroughcache"></a>

Amazon ECR utilizza un ruolo collegato al servizio denominato **AWSServiceRoleForECRPullThroughCache**che autorizza Amazon ECR a eseguire azioni per tuo conto per completare le azioni pull through cache. Per ulteriori informazioni sulla cache pull-through, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).

## Autorizzazioni del ruolo collegato ai servizi per Amazon ECR
<a name="slr-pullthroughcache-permissions"></a>

Il ruolo **AWSServiceRoleForECRPullThroughCache**collegato al servizio prevede che il seguente servizio assuma il ruolo.
+ `pullthroughcache.ecr.amazonaws.com`

**Dettagli delle autorizzazioni**

La policy delle autorizzazioni `AWSECRPullThroughCache_ServiceRolePolicy` è attribuita al ruolo collegato ai servizi. Questa policy gestita concede ad Amazon ECR l'autorizzazione all'esecuzione delle operazioni seguenti. Per ulteriori informazioni, consulta [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`— Consente al servizio Amazon ECR di estrarre e inviare immagini a un archivio privato.
+ `secretsmanager:GetSecretValue`— Consente al servizio Amazon ECR di recuperare i contenuti crittografati di un Gestione dei segreti AWS segreto. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione nel tuo registro privato. Questa autorizzazione è valida solo per i segreti con il prefisso di nome `ecr-pullthroughcache/`.

La policy `AWSECRPullThroughCache_ServiceRolePolicy` contiene il JSON seguente.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:BatchGetImage",
                "ecr:BatchImportUpstreamImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetImageCopyStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
```

------

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.

## Creazione di un ruolo collegato ai servizi per Amazon ECR
<a name="slr-pullthroughcache-create"></a>

Non devi creare manualmente il ruolo collegato al servizio Amazon ECR per la cache pull-trough. Quando crei una regola pull through cache per il tuo registro privato nell'API Console di gestione AWS, nell' AWS CLI o nell' AWS API, Amazon ECR crea il ruolo collegato al servizio per te. 

Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei una regola di cache pull-through per il tuo registro privato, Amazon ECR crea il ruolo collegato ai servizi per te se non esiste già.

## Modifica di un ruolo collegato ai servizi per Amazon ECR
<a name="slr-pullthroughcache-edit"></a>

Amazon ECR non consente la modifica manuale del ruolo collegato al **AWSServiceRoleForECRPullThroughCache**servizio. Dopo aver creato un ruolo collegato ai servizi, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.

## Eliminazione di un ruolo collegato ai servizi per Amazon ECR
<a name="slr-pullthroughcache-delete"></a>

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, prima di poter eliminare manualmente il ruolo collegato ai servizi, è necessario eliminare le regole della cache pull-through per il registro in ogni regione.

**Nota**  
Se provi a eliminare risorse mentre il servizio Amazon ECR utilizza ancora il ruolo, l'operazione di eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.

**Per eliminare le risorse Amazon ECR utilizzate dal ruolo collegato ai servizi **AWSServiceRoleForECRPullThroughCache****

1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Nella barra di navigazione, seleziona la regione in cui vengono create le regole della cache pull-through.

1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**.

1. Nella pagina **Private registry** (Registro privato), nella sezione **Pull through cache configuration** (Configurazione di cache pull through) scegli **Edit** (Modifica).

1. Per ogni regola di cache pull through che hai creato, seleziona la regola e quindi scegli **Delete rule** (Elimina regola).

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForECRPullThroughCache**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.