Verhindern, dass Bild-Tags in Amazon ECR überschrieben werden

Sie können verhindern, dass Bild-Tags überschrieben werden, indem Sie die Tag-Unveränderlichkeit in einem Repository aktivieren. Nachdem die Unveränderlichkeit von Tags aktiviert wurde, wird der ImageTagAlreadyExistsException Fehler zurückgegeben, wenn Sie ein Bild mit einem Tag übertragen, das sich bereits im Repository befindet. Die Unveränderlichkeit von Tags wirkt sich auf alle Tags aus. Sie können einige Tags nicht unveränderlich machen, während andere nicht unveränderlich sind.

Sie können die AWS CLI Tools AWS Management Console und verwenden, um die Veränderbarkeit von Image-Tags für ein neues Repository oder für ein vorhandenes Repository festzulegen. Informationen zum Erstellen eines Repositorys mithilfe von Konsolenschritten finden Sie unterErstellen eines privaten Amazon ECR-Repositorys zum Speichern von Bildern.

Einstellung der Veränderbarkeit von Bild-Tags ()AWS Management Console

Um die Veränderbarkeit von Bild-Tags festzulegen

1. Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/Repositorys.

2. Wählen Sie auf der Navigationsleiste die Region aus, in der das zu bearbeitende Repository enthalten ist.

3. Wählen Sie im Navigationsbereich unter Private Registrierung die Option Repositories aus.

   Wenn Repositorys nicht angezeigt werden, wählen Sie Private Registrierung aus, um das Menü zu erweitern, und wählen Sie dann Repositorys aus.

4. Wählen Sie auf der Seite Private Repositorys das Optionsfeld vor dem Namen des Repositorys aus, für das Sie die Veränderbarkeitseinstellungen für Image-Tags festlegen möchten.

5. Wählen Sie Aktionen und dann unter Bearbeiten die Option Repository aus.

6. Wählen Sie für die Unveränderlichkeit von Image-Tags eine der folgenden Tag-Veränderbarkeitseinstellungen für das Repository aus.

   • Veränderbar — Wählen Sie diese Option, wenn Sie möchten, dass Bild-Tags überschrieben werden. Empfohlen für Repositorys, die Pull-Through-Cache-Aktionen verwenden, um sicherzustellen, dass Amazon ECR zwischengespeicherte Bilder aktualisieren kann. Um Tag-Updates für einige veränderbare Tags zu deaktivieren, geben Sie außerdem Tag-Namen ein oder verwenden Sie Platzhalter (*), um mehrere ähnliche Tags im Textfeld zum Ausschluss veränderbarer Tags abzugleichen.

   • Unveränderlich — Wählen Sie diese Option, wenn Sie verhindern möchten, dass Bild-Tags überschrieben werden. Sie gilt für alle Tags und Ausschlüsse im Repository, wenn Sie ein Bild mit vorhandenem Tag übertragen. Amazon ECR gibt eine zurück, ImageTagAlreadyExistsException wenn Sie versuchen, ein Bild mit einem vorhandenen Tag zu pushen. Um Tag-Updates für einige unveränderliche Tags zu aktivieren, geben Sie außerdem Tagnamen ein oder verwenden Sie Platzhalter (*), um mehrere ähnliche Tags im Textfeld zum Ausschluss unveränderlicher Tags abzugleichen.

7. Obwohl Sie bei Image-Scaneinstellungen die Scaneinstellungen auf Repository-Ebene für das grundlegende Scannen angeben können, empfiehlt es sich, die Scankonfiguration auf privater Registrierungsebene anzugeben. Geben Sie die Scaneinstellungen in der privaten Registrierung an, um entweder das erweiterte Scannen oder das grundlegende Scannen zu aktivieren sowie Filter zu definieren, um anzugeben, welche Repositorys gescannt werden. Weitere Informationen finden Sie unter Bilder auf Softwareschwachstellen in Amazon ECR scannen.

8. Für Verschlüsselungseinstellungen ist dies ein Nur-Ansichtsfeld, da die Verschlüsselungseinstellungen für ein Repository nicht geändert werden können, sobald das Repository erstellt wurde.

9. Wählen Sie Speichern aus, um die Repository-Einstellungen zu aktualisieren.

Einstellung der Veränderbarkeit von Bild-Tags ()AWS CLI

So erstellen Sie ein Repository, das für unveränderlichen Tags konfiguriert ist

Verwenden Sie einen der folgenden Befehle, um ein neues Image-Repository mit unveränderlichen Tags zu erstellen.

• create-repository (AWS CLI) mit der Veränderbarkeit von Bild-Tags

  aws ecr create-repository --repository-name name --image-tag-mutability IMMUTABLE --region us-east-2

• create-repository (AWS CLI) mit Filtern zum Ausschluss der Veränderbarkeit von Bild-Tags

  aws ecr create-repository --repository-name name --image-tag-mutability IMMUTABLE_WITH_EXCLUSION --image-tag-mutability-exclusion-filters filterType=WILDCARD,filter=filter-text --region us-east-2

• New- ECRRepository (AWS Tools for Windows PowerShell) mit Veränderbarkeit des Bild-Tags

  New-ECRRepository -RepositoryName name -ImageTagMutability IMMUTABLE -Region us-east-2 -Force

• Neu- ECRRepository (AWS Tools for Windows PowerShell) mit Filtern zum Ausschluss der Veränderbarkeit von Bild-Tags

  New-ECRRepository -RepositoryName name -ImageTagMutability IMMUTABLE_WITH_EXCLUSION -ImageTagMutabilityExclusionFilter @{FilterType=WILDCARD Filter=filter-text} -Region us-east-2 -Force

Um die Mutabilitätseinstellungen für Bild-Tags für ein Repository zu aktualisieren

Verwenden Sie einen der folgenden Befehle, um die Einstellungen zur Veränderlichkeit von Image Tags für ein vorhandenes Repository zu aktualisieren.

• put-image-tag-mutability(AWS CLI) mit Bild-Tag-Veränderlichkeit

  aws ecr put-image-tag-mutability --repository-name name --image-tag-mutability IMMUTABLE --region us-east-2

• put-image-tag-mutability(AWS CLI) mit Filtern zum Ausschluss der Veränderlichkeit von Bild-Tags

  aws ecr put-image-tag-mutability --repository-name name --image-tag-mutability IMMUTABLE_WITH_EXCLUSION --image-tag-mutability-exclusion-filters filterType=WILDCARD,filter=latest --region us-east-2

• Write- ECRImage TagMutability (AWS Tools for Windows PowerShell) mit Bildtag-Veränderlichkeit

  Write-ECRImageTagMutability -RepositoryName name -ImageTagMutability IMMUTABLE -Region us-east-2 -Force

• Write- ECRImage TagMutability (AWS Tools for Windows PowerShell) mit Filtern zum Ausschluss der Veränderlichkeit von Bild-Tags

  Write-ECRImageTagMutability -RepositoryName name -ImageTagMutability IMMUTABLE_WITH_EXCLUSION -ImageTagMutabilityExclusionFilter @{FilterType=WILDCARD Filter=latest}