前提条件の使用 AWS Management Console の使用 AWS CLI 次のステップ

Amazon ECR でのプルスルーキャッシュルールの作成

Amazon ECR プライベートレジストリにキャッシュするイメージを含むアップストリームレジストリごとに、プルスルーキャッシュルールを作成する必要があります。

認証が必要なアップストリームレジストリでは、認証情報を Secrets Manager シークレットに保存する必要があります。既存のシークレットを使用するか、新しいシークレットを作成できます。Secrets Manager シークレットは、Amazon ECR コンソールで作成することも、Secrets Manager コンソールで作成することもできます。Amazon ECR コンソールの代わりに Secrets Manager コンソールを使用して Secrets Manager シークレットを作成するには、「アップストリームリポジトリの認証情報を AWS Secrets Manager シークレットに保存する」を参照してください。

前提条件

プルスルーキャッシュルールを作成するための適切な IAM アクセス許可を持っていることを確認します。詳細については、アップストリームレジストリと Amazon ECR プライベートレジストリを同期するために必要な IAM アクセス許可を参照してください。
認証が必要なアップストリームレジストリの場合: 既存のシークレットを使用する場合は、Secrets Manager シークレットが以下の要件を満たしていることを確認します。
- シークレットの名前は ecr-pullthroughcache/ で始まります。 AWS Management Console には、ecr-pullthroughcache/ プレフィックスが付いた Secrets Manager シークレットのみが表示されます。
- シークレットが存在するアカウントおよびリージョンは、プルスルーキャッシュルールが存在するアカウントおよびリージョンと一致する必要があります。

プルスルーキャッシュルールの作成 (AWS Management Console)

以下のステップは、Amazon ECR コンソールを使用してプルスルーキャッシュルールと Secrets Manager シークレットを作成する方法を示しています。Secrets Manager コンソールを使用してシークレットを作成するには、「アップストリームリポジトリの認証情報を AWS Secrets Manager シークレットに保存する」を参照してください。

Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。
ナビゲーションバーから、プライベートレジストリ設定を構成するリージョンを選択します。
ナビゲーションペインで、[Private registry] (プライベートレジストリ)、[Pull through cache] (プルスルーキャッシュ) の順に選択します。
[Pull through cache configuration] (プルスルーキャッシュの設定) ページで、[Add rule] (ルールの追加) を選択します。
[ステップ 1: ソースを指定] ページの [レジストリ] で、アップストリームレジストリのリストから Amazon ECR パブリック、Kubernetes、または Quay のいずれかを選択し、[次へ] を選択します。
[ステップ 2: 宛先を指定する] ページの [Amazon ECR リポジトリプレフィックス] で、ソースパブリックレジストリから取得したイメージをキャッシュするときに使用するリポジトリ名前空間プレフィックスを指定し、[次へ] を選択します。デフォルトでは、名前空間は設定されていますが、カスタム名前空間も指定できます。
[ステップ 3: 確認と作成] ページで、プルスルーキャッシュルールの設定を確認し、[作成] を選択します。
作成する各プルスルーキャッシュに対して、前のステップを繰り返します。プルスルーキャッシュルールは、リージョンごとに個別に作成されます。

Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。
ナビゲーションバーから、プライベートレジストリ設定を構成するリージョンを選択します。
ナビゲーションペインで、[Private registry] (プライベートレジストリ)、[Pull through cache] (プルスルーキャッシュ) の順に選択します。
[Pull through cache configuration] (プルスルーキャッシュの設定) ページで、[Add rule] (ルールの追加) を選択します。
[ステップ 1: ソースを指定] ページの [レジストリ] で [Docker Hub] を選択し、[次へ] を選択します。
[ステップ 2: 認証の設定] ページの [アップストリームの認証情報] では、Docker Hub の認証認証情報を AWS Secrets Manager シークレットに保存する必要があります。既存のシークレットを指定するか、Amazon ECR コンソールを使用して新しいシークレットを作成できます。
1. 既存のシークレットを使用するには、既存のシーク AWS レットを使用するを選択します。[シークレット名] では、ドロップダウンを使用して既存のシークレットを選択し、[次へ] を選択します。
  
  注記
  には、 ecr-pullthroughcache/ プレフィックスを使用する名前の Secrets Manager シークレット AWS Management Console のみが表示されます。シークレットは、プルスルーキャッシュルールが作成されたのと同じアカウントとリージョンにある必要もあります。
2. 新しいシークレットを作成するには、[ AWS シークレットを作成する] を選択し、次の操作を行って、[次へ] を選択します。
  1. [シークレット名] には、シークレットのわかりやすい名前を指定します。シークレット名は 1～512 文字の Unicode 文字で構成されます。
  2. [Docker Hub の E メール] には、Docker Hub の E メールを指定します。
  3. [Docker Hub のアクセストークン]には、Docker Hub アクセストークンを指定します。Docker Hub アクセストークンの作成について詳しくは、Docker ドキュメントの「Create and manage access tokens」を参照してください。
[ステップ 3: 宛先を指定する] ページの [Amazon ECR リポジトリプレフィックス] で、ソースパブリックレジストリから取得したイメージをキャッシュするときに使用するリポジトリ名前空間を指定し、[次へ] を選択します。

デフォルトでは、名前空間は設定されていますが、カスタム名前空間も指定できます。
[ステップ 4: 確認と作成] ページで、プルスルーキャッシュルールの設定を確認し、[作成] を選択します。
作成する各プルスルーキャッシュに対して、前のステップを繰り返します。プルスルーキャッシュルールは、リージョンごとに個別に作成されます。

Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。
ナビゲーションバーから、プライベートレジストリ設定を構成するリージョンを選択します。
ナビゲーションペインで、[Private registry] (プライベートレジストリ)、[Pull through cache] (プルスルーキャッシュ) の順に選択します。
[Pull through cache configuration] (プルスルーキャッシュの設定) ページで、[Add rule] (ルールの追加) を選択します。
[ステップ 1: ソースを指定] ページの [レジストリ] で [GitHub コンテナレジストリ] を選択し、[次へ] を選択します。
[ステップ 2: 認証の設定] ページの [アップストリームの認証情報] では、GitHub コンテナレジストリの認証認証情報を AWS Secrets Manager シークレットに保存する必要があります。既存のシークレットを指定するか、Amazon ECR コンソールを使用して新しいシークレットを作成できます。
1. 既存のシークレットを使用するには、既存のシーク AWS レットを使用するを選択します。[シークレット名] では、ドロップダウンを使用して既存のシークレットを選択し、[次へ] を選択します。
  
  注記
  には、 ecr-pullthroughcache/ プレフィックスを使用する名前の Secrets Manager シークレット AWS Management Console のみが表示されます。シークレットは、プルスルーキャッシュルールが作成されたのと同じアカウントとリージョンにある必要もあります。
2. 新しいシークレットを作成するには、[ AWS シークレットを作成する] を選択し、次の操作を行って、[次へ] を選択します。
  1. [シークレット名] には、シークレットのわかりやすい名前を指定します。シークレット名は 1～512 文字の Unicode 文字で構成されます。
  2. [GitHub コンテナレジストリのユーザー名] には、GitHub コンテナレジストリのユーザー名を指定します。
  3. [GitHub コンテナレジストリアクストークン] には、GitHub コンテナレジストリアクセストークンを指定します。GitHub アクセストークンの作成の詳細については、GitHub ドキュメントの「個人用アクセストークンを管理する」を参照してください。
[ステップ 3: 宛先を指定する] ページの [Amazon ECR リポジトリプレフィックス] で、ソースパブリックレジストリから取得したイメージをキャッシュするときに使用するリポジトリ名前空間を指定し、[次へ] を選択します。

デフォルトでは、名前空間は設定されていますが、カスタム名前空間も指定できます。
[ステップ 4: 確認と作成] ページで、プルスルーキャッシュルールの設定を確認し、[作成] を選択します。
作成する各プルスルーキャッシュに対して、前のステップを繰り返します。プルスルーキャッシュルールは、リージョンごとに個別に作成されます。

Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。
ナビゲーションバーから、プライベートレジストリ設定を構成するリージョンを選択します。
ナビゲーションペインで、[Private registry] (プライベートレジストリ)、[Pull through cache] (プルスルーキャッシュ) の順に選択します。
[Pull through cache configuration] (プルスルーキャッシュの設定) ページで、[Add rule] (ルールの追加) を選択します。
[ステップ 1:ソースの指定] ページで、以下の操作を行います。
1. [レジストリ] には、[Microsoft Azure コンテナレジストリ] を選択します。
2. [ソースレジストリ URL] に Microsoft Azure コンテナレジストリの名前を指定し、[次へ] を選択します。
  
  重要
  .azurecr.io サフィックスはユーザーに代わって入力されるため、プレフィックスを指定するだけで済みます。
[ステップ 2: 認証の設定] ページの [アップストリームの認証情報] では、Microsoft Azure コンテナレジストリの認証認証情報を AWS Secrets Manager シークレットに保存する必要があります。既存のシークレットを指定するか、Amazon ECR コンソールを使用して新しいシークレットを作成できます。
1. 既存のシークレットを使用するには、既存のシーク AWS レットを使用するを選択します。[シークレット名] では、ドロップダウンを使用して既存のシークレットを選択し、[次へ] を選択します。
  
  注記
  には、 ecr-pullthroughcache/ プレフィックスを使用する名前の Secrets Manager シークレット AWS Management Console のみが表示されます。シークレットは、プルスルーキャッシュルールが作成されたのと同じアカウントとリージョンにある必要もあります。
2. 新しいシークレットを作成するには、[ AWS シークレットを作成する] を選択し、次の操作を行って、[次へ] を選択します。
  1. [シークレット名] には、シークレットのわかりやすい名前を指定します。シークレット名は 1～512 文字の Unicode 文字で構成されます。
  2. [Microsoft Azure コンテナレジストリのユーザー名] には、Microsoft Azure コンテナーレジストリのユーザー名を指定します。
  3. [Microsoft Azure コンテナレジストリのアクセストークン] には、Microsoft Azure コンテナレジストリのアクセストークンを指定します。Microsoft Azure コンテナレジストリアクストークンの作成について詳しくは、Microsoft Azure ドキュメントの「トークンを作成する - ポータル」を参照してください。
[ステップ 3: 宛先を指定する] ページの [Amazon ECR リポジトリプレフィックス] で、ソースパブリックレジストリから取得したイメージをキャッシュするときに使用するリポジトリ名前空間を指定し、[次へ] を選択します。

デフォルトでは、名前空間は設定されていますが、カスタム名前空間も指定できます。
[ステップ 4: 確認と作成] ページで、プルスルーキャッシュルールの設定を確認し、[作成] を選択します。
作成する各プルスルーキャッシュに対して、前のステップを繰り返します。プルスルーキャッシュルールは、リージョンごとに個別に作成されます。

Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。
ナビゲーションバーから、プライベートレジストリ設定を構成するリージョンを選択します。
ナビゲーションペインで、[Private registry] (プライベートレジストリ)、[Pull through cache] (プルスルーキャッシュ) の順に選択します。
[Pull through cache configuration] (プルスルーキャッシュの設定) ページで、[Add rule] (ルールの追加) を選択します。
[ステップ 1: ソースを指定] ページの [レジストリ] で、[GitLab コンテナレジストリ] を選択し、[次へ] を選択します。
[ステップ 2: 認証の設定] ページの [アップストリーム認証情報] では、GitLab コンテナレジストリの認証情報を AWS Secrets Manager シークレットに保存する必要があります。既存のシークレットを指定するか、Amazon ECR コンソールを使用して新しいシークレットを作成できます。
1. 既存のシークレットを使用するには、既存のシーク AWS レットを使用するを選択します。[シークレット名] では、ドロップダウンを使用して既存のシークレットを選択し、[次へ] を選択します。Secrets Manager コンソールを使用して Secrets Manager シークレットを作成する方法の詳細については、アップストリームリポジトリの認証情報を AWS Secrets Manager シークレットに保存するを参照してください。
  
  注記
  には、 ecr-pullthroughcache/ プレフィックスを使用する名前の Secrets Manager シークレット AWS Management Console のみが表示されます。シークレットは、プルスルーキャッシュルールが作成されたのと同じアカウントとリージョンにある必要もあります。
2. 新しいシークレットを作成するには、[ AWS シークレットを作成する] を選択し、次の操作を行って、[次へ] を選択します。
  1. [シークレット名] には、シークレットのわかりやすい名前を指定します。シークレット名は 1～512 文字の Unicode 文字で構成されます。
  2. [GitLab コンテナレジストリのユーザー名] には、GitLab コンテナレジストリのユーザー名を指定します。
  3. [GitLab コンテナレジストリのアクセストークン] には、GitLab コンテナレジストリのアクセストークンを指定します。GitLab コンテナレジストリのアクセストークンの作成の詳細については、GitLab ドキュメントの「Personal access tokens」、「Group access tokens」、または「Project access tokens」を参照してください。
[ステップ 3: 宛先を指定する] ページの [Amazon ECR リポジトリプレフィックス] で、ソースパブリックレジストリから取得したイメージをキャッシュするときに使用するリポジトリ名前空間を指定し、[次へ] を選択します。

デフォルトでは、名前空間は設定されていますが、カスタム名前空間も指定できます。
[ステップ 4: 確認と作成] ページで、プルスルーキャッシュルールの設定を確認し、[作成] を選択します。
作成する各プルスルーキャッシュに対して、前のステップを繰り返します。プルスルーキャッシュルールは、リージョンごとに個別に作成されます。

プルスルーキャッシュルールを作成するには (AWS CLI)

create-pull-through-cache-rule AWS CLI コマンドを使用して、Amazon ECR プライベートレジストリのプルスルーキャッシュルールを作成します。認証が必要なアップストリームレジストリでは、認証情報を Secrets Manager シークレットに保存する必要があります。Secrets Manager コンソールを使用してシークレットを作成するには、「アップストリームリポジトリの認証情報を AWS Secrets Manager シークレットに保存する」を参照してください。

以下の例は、サポートされている各アップストリームレジストリについて提供されています。

次の例では、Amazon ECR パブリックレジストリのプルスルーキャッシュルールを作成します。リポジトリプレフィックス ecr-public を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム ecr-public/upstream-repository-name を持ちます。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix ecr-public \
     --upstream-registry-url public.ecr.aws \
     --region us-east-2

次の例では、Kubernetes パブリックレジストリのプルスルーキャッシュルールを作成します。リポジトリプレフィックス kubernetes を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム kubernetes/upstream-repository-name を持ちます。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix kubernetes \
     --upstream-registry-url registry.k8s.io \
     --region us-east-2

次の例では、Quay パブリックレジストリのプルスルーキャッシュルールを作成します。リポジトリプレフィックス quay を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム quay/upstream-repository-name を持ちます。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix quay \
     --upstream-registry-url quay.io \
     --region us-east-2

次の例では、Docker Hub レジストリのプルスルーキャッシュルールを作成します。リポジトリプレフィックス docker-hub を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム docker-hub/upstream-repository-name を持ちます。Docker Hub の認証情報が含まれているシークレットの完全な Amazon リソースネーム (ARN) を指定する必要があります。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix docker-hub \
     --upstream-registry-url registry-1.docker.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

次の例では、GitHub コンテナレジストリ用のプルスルーキャッシュルールを作成します。リポジトリプレフィックス docker-hub を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム github/upstream-repository-name を持ちます。GitHub コンテナレジストリの認証情報が含まれているシークレットの完全な Amazon リソースネーム (ARN) を指定する必要があります。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix github \
     --upstream-registry-url ghcr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

次の例では、Microsoft Azure コンテナレジストリ用のプルスルーキャッシュルールを作成します。リポジトリプレフィックス azure を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム azure/upstream-repository-name を持ちます。Microsoft Azure コンテナレジストリの認証情報が含まれているシークレットの完全な Amazon リソースネーム (ARN) を指定する必要があります。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix azure \
     --upstream-registry-url myregistry.azurecr.io \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

次の例では、GitLab コンテナレジストリ用のプルスルーキャッシュルールを作成します。リポジトリプレフィックス gitlab を指定します。この結果、プルスルーキャッシュルールを使用して作成された各リポジトリは命名スキーム gitlab/upstream-repository-name を持ちます。GitLab コンテナレジストリの認証情報が含まれているシークレットの完全な Amazon リソースネーム (ARN) を指定する必要があります。


aws ecr create-pull-through-cache-rule \
     --ecr-repository-prefix gitlab \
     --upstream-registry-url registry.gitlab.com \
     --credential-arn arn:aws:secretsmanager:us-east-2:111122223333:secret:ecr-pullthroughcache/example1234 \
     --region us-east-2

次のステップ

プルスルーキャッシュルールを作成したら、次のステップは以下のとおりです。

リポジトリ作成テンプレートを作成します。リポジトリ作成テンプレートは、プルスルーキャッシュアクションで Amazon ECR がユーザーに代わって作成した新しいリポジトリに使用する設定を定義することができます。詳細については、「プルスルーキャッシュまたはレプリケーションアクション中に作成されたリポジトリを制御するテンプレート」を参照してください。
プルスルーキャッシュルールを検証します。プルスルーキャッシュルールを検証する際、Amazon ECR はアップストリームレジストリとのネットワーク接続を確立し、アップストリームレジストリの認証情報を含む Secrets Manager シークレットにアクセスできること、および認証が成功したことを確認します。詳細については、「Amazon ECR でのプルスルーキャッシュルールの検証」を参照してください。
プルスルーキャッシュルールの使用を開始します。詳細については、「Amazon ECR でのプルスルーキャッシュルールを使用したイメージのプル」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

必要な IAM 許可

プルスルーキャッシュルールの検証

Amazon ECR でのプルスルーキャッシュルールの作成

前提条件

プルスルーキャッシュルールの作成 (AWS Management Console)

注記

注記

重要

注記

注記

プルスルーキャッシュルールを作成するには (AWS CLI)

次のステップ