Conceder permissões de registro para replicação entre contas na Amazon ECR - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder permissões de registro para replicação entre contas na Amazon ECR

O tipo de política entre contas é usado para conceder permissões a uma entidade principal do AWS , permitindo a replicação dos repositórios de um registro de origem para o seu registro. Por padrão, você tem permissão para configurar a replicação entre regiões no seu próprio registro. Só é necessário configurar a política de registro se estiver concendendo outra permissão de conta para replicar conteúdo para o seu registro.

Uma política de registro deve conceder permissão para a ecr:ReplicateImage API ação. Essa API é uma Amazon interna ECR API que pode replicar imagens entre regiões ou contas. Você também pode conceder permissão para a ecr:CreateRepository permissão, o que permite que ECR a Amazon crie repositórios em seu registro, caso eles ainda não existam. Se a permissão ecr:CreateRepository não for fornecida, um repositório com o mesmo nome que o repositório de origem deve ser criado manualmente no seu registro. Se nenhuma das duas alternativas foi realizada, a replicação falha. Qualquer falha CreateRepository ou ReplicateImage API ação aparece em CloudTrail.

  1. Abra o ECR console da Amazon em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, escolha a região para configurar a sua política de registro.

  3. No painel de navegação, escolha Private registry (Registro privado), Registry permissions (Permissões do registro).

  4. Na página Registry permissions (Permissões do registro), escolha Generate statement (Gerar declaração).

  5. Realize as seguintes etapas para definir a instrução da política usando o gerador de políticas.

    1. Em Policy type (Tipo de Política), escolha Cross-account policy (Política entre contas).

    2. Para Statement ID (ID da instrução), insira um ID de instrução exclusivo. Este campo é usado como o Sid na política de registro.

    3. Em Contas, insira a conta IDs de cada conta para a qual você deseja conceder permissões. Ao especificar várias contasIDs, separe-as com uma vírgula.

  6. Expanda a seção Preview policy statement (Previsualizar instrução da política para rever a instrução da política de permissões do registro.

  7. Depois que a instrução da política for confirmada, escolha Add to policy (Adicionar à política) para salvar a política em seu registro.

  1. Crie um arquivo denominado registry_policy.json e preencha-o com uma política de registro.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Crie a política de registro usando o arquivo de política.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Recupere a política para seu registro para confirmar.

    aws ecr get-registry-policy \
      --region us-west-2