プルスルーキャッシュ用の Amazon ECRサービスにリンクされたロール - Amazon ECR
Amazon のサービスにリンクされたロールのアクセス許可 ECRAmazon のサービスにリンクされたロールの作成 ECRAmazon のサービスにリンクされたロールの編集 ECRAmazon のサービスにリンクされたロールの削除 ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プルスルーキャッシュ用の Amazon ECRサービスにリンクされたロール

Amazon は、ユーザーに代わってプルスルーキャッシュアクションを完了ECRするためのアクションを実行するアクセス許可を Amazon に付与する、 という名前のサービスにリンクAWSServiceRoleForECRPullThroughCacheされたロールECRを使用します。プルスルーの詳細については、「プルスルーキャッシュまたはレプリケーションアクション中に作成されたリポジトリを制御するテンプレート」を参照してください。

Amazon のサービスにリンクされたロールのアクセス許可 ECR

AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • pullthroughcache.ecr.amazonaws.com

アクセス許可の詳細

AWSECRPullThroughCache_ServiceRolePolicy 許可ポリシーは、サービスにリンクされたロールにアタッチされます。この管理ポリシーは、以下のアクションを実行するECR許可を Amazon に付与します。詳細については、「AWSECRPullThroughCache_ServiceRolePolicy」を参照してください。

  • ecr — Amazon ECRサービスがプライベートリポジトリにイメージをプッシュできるようにします。

  • secretsmanager:GetSecretValue — Amazon ECRサービスが AWS Secrets Manager シークレットの暗号化されたコンテンツを取得できるようにします。これは、プルスルーキャッシュルールを使用して、プライベートレジストリの認証が必要なアップストリームレジストリからイメージをキャッシュする場合に必要です。この許可は、ecr-pullthroughcache/ という名前のプレフィックスが付いたシークレットのみに適用されます。

AWSECRPullThroughCache_ServiceRolePolicy ポリシーには、次の が含まれますJSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon のサービスにリンクされたロールの作成 ECR

プルスルーキャッシュ用に Amazon ECRサービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは でプライベートレジストリのプルスルーキャッシュルールを作成すると AWS API、Amazon によってサービスにリンクされたロールECRが作成されます。

このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。プライベートレジストリのプルスルーキャッシュルールを作成すると、サービスにリンクされたロールがまだ存在しない場合は Amazon によって再度ECR作成されます。

Amazon のサービスにリンクされたロールの編集 ECR

Amazon ECRでは、AWSServiceRoleForECRPullThroughCacheサービスにリンクされたロールを手動で編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Amazon のサービスにリンクされたロールの削除 ECR

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンでレジストリのプルスルーキャッシュルールを削除する必要があります。

注記

Amazon ECRサービスがまだロールを使用しているときにリソースを削除しようとすると、削除アクションが失敗する可能性があります。その場合は、数分待ってから再試行してください。

AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールによって使用されている Amazon ECRリソースを削除するには

  1. で Amazon ECRコンソールを開きますhttps://console.aws.amazon.com/ecr/

  2. ナビゲーションバーから、プルスルーキャッシュルールを作成するリージョンを選択します。

  3. ナビゲーションペインで、[Private registry] (プライベートレジストリ) を選択します。

  4. [Private registry] (プライベートレジストリ) ページの [Pull through cache configuration] (プルスルーキャッシュの設定) セクションで、[Edit] (編集) をクリックします。

  5. 作成したプルスルーキャッシュルールごとに、ルールを選択し、[Delete rule] (ルールを削除) を選択します。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForECRPullThroughCacheサービスにリンクされたロールを削除します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。