기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 교차 계정 ECR에서 ECR PTC로의 권한 설정
<a name="pull-through-cache-private"></a>

Amazon ECR에서 Amazon ECR로(ECR에서 ECR로) 풀스루 캐시 기능을 사용하면 리전, AWS 계정 또는 둘 다 간에 이미지를 자동으로 동기화할 수 있습니다. ECR - ECR PTC 기능을 사용하면 이미지를 기본 Amazon ECR 레지스트리로 푸시하고 다운스트림 Amazon ECR 레지스트리에 이미지를 캐싱하는 풀스루 캐시 규칙을 구성할 수 있습니다.

## 교차 계정 ECR에서 ECR로의 풀스루 캐시에 필요한 IAM 정책
<a name="pull-through-cache-private-permissions"></a>

여러 AWS 계정의 Amazon ECR 레지스트리 간에 이미지를 캐시하려면 다운스트림 계정에서 IAM 역할을 생성하고이 섹션의 정책을 구성하여 다음 권한을 제공합니다.
+ Amazon ECR에는 사용자 대신 업스트림 Amazon ECR 레지스트리에서 이미지를 가져올 수 있는 권한이 필요합니다. IAM 역할을 생성한 다음 풀스루 캐시 규칙에 이를 지정하여 이러한 권한을 부여할 수 있습니다.
+ 또한 업스트림 레지스트리 소유자는 리소스 정책에서 캐시 레지스트리 소유자에게 이미지를 가져오는 데 필요한 권한을 부여해야 합니다.

**Topics**
+ [풀스루 캐시 권한을 정의하는 IAM 역할 생성](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [IAM 역할에 대한 신뢰 정책 생성](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [업스트림 Amazon ECR 레지스트리에서 리소스 정책 생성](#ecr-creating-registry-permissions-policy-in-upstream-registry)

### 풀스루 캐시 권한을 정의하는 IAM 역할 생성
<a name="ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache"></a>

다음 예제는 사용자 대신 업스트림 Amazon ECR 레지스트리에서 이미지를 가져올 수 있는 권한을 IAM 역할에 부여하는 권한 정책을 보여줍니다. Amazon ECR이 이 역할을 맡으면 이 정책에 지정된 권한을 받게 됩니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### IAM 역할에 대한 신뢰 정책 생성
<a name="ecr-creating-a-trust-policy-for-the-iam-role"></a>

다음 예제에서는 Amazon ECR 풀스루 캐시를 역할을 수임할 수 있는 AWS 서비스 보안 주체로 식별하는 신뢰 정책을 보여줍니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

### 업스트림 Amazon ECR 레지스트리에서 리소스 정책 생성
<a name="ecr-creating-registry-permissions-policy-in-upstream-registry"></a>

또한 업스트림 Amazon ECR 레지스트리 소유자는 다운스트림 레지스트리 소유자에게 다음 작업을 수행하는 데 필요한 권한을 부여하는 레지스트리 정책 또는 리포지토리 정책을 추가해야 합니다.

**참고**  
다음 리소스 정책은 **교차 계정** ECR에서 ECR로의 풀스루 캐시 구성에만 필요합니다. **동일한 계정, 리전 간** 풀스루 캐시의 경우 이전 섹션에 표시된 IAM 역할 정책 및 신뢰 정책만 필요합니다. 업스트림 및 다운스트림 레지스트리가 동일한 계정에 있는 경우 루트 AWS 계정 보안 주체 권한이 필요하지 않습니다.

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```