レプリケーション用の Amazon ECR サービスにリンクされたロール - Amazon ECR
Amazon ECR でのサービスにリンクされたロールのアクセス許可Amazon ECR でのサービスにリンクされたロールの作成Amazon ECR でのサービスにリンクされたロールの編集Amazon ECR でのサービスにリンクされたロールの削除

レプリケーション用の Amazon ECR サービスにリンクされたロール

Amazon ECR は、AWSServiceRoleForECRReplication という名前のサービスリンクロールを使用します。これは、Amazon ECR が複数のアカウント間でイメージをレプリケートすることを許可します。

Amazon ECR でのサービスにリンクされたロールのアクセス許可

サービスにリンクされた AWSServiceRoleForECRReplication ロールは、以下のサービスを信頼してロールを引き受けます。

  • replication.ecr.amazonaws.com

以下の ECRReplicationServiceRolePolicy ロールのアクセス許可ポリシーは、リソースに対して以下のアクションを使用することを Amazon ECR に許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": "*"
        }
    ]
}
注記

ReplicateImage は、Amazon ECR がレプリケーションに使用する内部 API で、直接呼び出すことはできません。

アクセス許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon ECR でのサービスにリンクされたロールの作成

Amazon ECR サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API でレジストリにレプリケーション設定を構成すると、Amazon ECR がサービスにリンクされたロールを作成します。

このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。レジストリのレプリケーション設定を構成すると、サービスにリンクされたロールAmazon ECR が Amazon ECR によって再度作成されます。

Amazon ECR でのサービスにリンクされたロールの編集

Amazon ECR では、サービスにリンクされた AWSServiceRoleForECRReplication ロールを手動で削除することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Amazon ECR でのサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンでレジストリのレプリケーション設定を削除する必要があります。

注記

Amazon ECR サービスがロールを使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。

サービスにリンクされた AWSServiceRoleForECRReplication ロールが使用している Amazon ECR リソースを削除するには

  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. ナビゲーションバーから、レプリケーション設定が有効なリージョンを選択します。

  3. ナビゲーションペインで、[Private registry] (プライベートレジストリ) を選択します。

  4. [Private registry] (プライベートレジストリ) ページの [Replication configuration] (レプリケーション設定) セクションで、[Edit] (編集) をクリックします。

  5. すべてのレプリケーションルールを削除するには、[Delete all] (すべて削除) を選択します。このステップには確認が必要です。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされた AWSServiceRoleForECRReplication ロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。