Usar permissões de registro Próximas etapas

Permissões do IAM necessárias para sincronizar um registro upstream com um registro privado do Amazon ECR

Além das permissões da API do Amazon ECR necessárias para autenticar em um registro privado e enviar e extrair imagens, as seguintes permissões adicionais são necessárias para usar regras de cache de pull-through de forma efetiva.

ecr:CreatePullThroughCacheRule: concede permissão para criar regra de cache de pull-through. Essa permissão deve ser concedida por meio de uma política do IAM baseada em identidade.
ecr:BatchImportUpstreamImage: concede permissão para recuperar a imagem externa e importá-la para o registro privado. Essa permissão pode ser concedida usando a política de permissões do registro privado, uma política do IAM baseada em identidade ou a política de permissões de repositório baseadas em recursos. Para obter mais informações sobre o uso de permissões de repositório, consulte Políticas de repositório privado no Amazon ECR.
ecr:CreateRepository: concede permissão para criar um repositório em um registro privado. Essa permissão é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Essa permissão pode ser concedida por uma política do IAM baseada em identidade ou pela política de permissões do registro privado.

Usar permissões de registro

As permissões de registro privado do Amazon ECR podem ser usadas para dimensionar o escopo das permissões de entidades individuais do IAM para usar o cache de pull-through. Se uma entidade do IAM tiver mais permissões concedidas por uma política do IAM do que a política de permissões do registro está concedendo, a política do IAM terá precedência. Por exemplo, se um usuário já tiver as permissões ecr:*, não serão necessárias permissões adicionais no nível do registro.

Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/
Na barra de navegação, escolha a região na qual deseja configurar a sua declaração de permissões da política do registro.
No painel de navegação, escolha Private registry (Registro privado), Registry permissions (Permissões do registro).
Na página Registry permissions (Permissões do registro), escolha Generate statement (Gerar declaração).
Para cada declaração de política de permissões de cache de pull-through que você criar, faça o seguinte.
1. Em Policy type (Tipo de política), escolha Pull through cache policy (Política de cache de pull-through).
2. Em Statement id (ID da declaração), forneça um nome para a política de declaração do cache de pull-through.
3. Em IAM entities (Entidades do IAM), especifique os usuários, grupos ou funções a serem incluídos na política.
4. Em Repository namespace (Namespace do repositório), selecione a regra de cache de pull-through para associar à política.
5. Em Repository names (Nomes de repositórios), especifique o nome da base do repositório ao qual a regra será aplicada. Por exemplo, se você quisesse especificar o repositório do Amazon Linux no Amazon ECR Public, o nome do repositório seria amazonlinux.

Use o comando da AWS CLI a seguir para especificar as permissões do registro privado usando a AWS CLI.

Crie um arquivo local denominado ptc-registry-policy.json com o conteúdo da política do registro. O exemplo a seguir concede a permissão ecr-pull-through-cache-user para criar um repositório e extrair uma imagem do Amazon ECR Public, que é a fonte upstream associada à regra de cache pull-through criada anteriormente.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PullThroughCacheFromReadOnlyRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
      },
      "Action": [
        "ecr:CreateRepository",
        "ecr:BatchImportUpstreamImage"
      ],
      "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
    }
  ]
} 
```
Importante
A permissão ecr-CreateRepository é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Por exemplo, se a ação de criação do repositório e as ações de extração de imagem forem realizadas por entidades separadas do IAM, como um administrador e um desenvolvedor.

Use um comando put-registry-policy para definir a política do registro.


aws ecr put-registry-policy \
     --policy-text file://ptc-registry.policy.json

Próximas etapas

Quando você estiver pronto para começar a usar as regras de cache de pull-through, as próximas etapas são apresentadas a seguir.

Crie uma regra de cache de pull-through. Para ter mais informações, consulte Criar uma regra de cache de pull-through no Amazon ECR.
Crie um modelo de criação de repositório. Um modelo de criação de repositório oferece a você o controle para definir as configurações a serem usadas para novos repositórios criados pelo Amazon ECR em seu nome durante uma ação do cache de pull-through. Para ter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Sincronizar um registro upstream

Criação de uma regra de cache de pull-through

Permissões do IAM necessárias para sincronizar um registro upstream com um registro privado do Amazon ECR

Usar permissões de registro

Importante

Próximas etapas