IAMBerechtigungen, die erforderlich sind, um eine Upstream-Registry mit einer ECR privaten Amazon-Registry zu synchronisieren

Zusätzlich zu den ECR API Amazon-Berechtigungen, die für die Authentifizierung bei einer privaten Registrierung und für das Push- und Pull von Bildern erforderlich sind, sind die folgenden zusätzlichen Berechtigungen erforderlich, um Pull-Through-Cache-Regeln effektiv nutzen zu können.

• ecr:CreatePullThroughCacheRule – Gewährt die Berechtigung zum Erstellen einer neuen Pull-Through-Cache-Regel. Diese Genehmigung muss im Rahmen einer IAM identitätsbasierten Richtlinie erteilt werden.

• ecr:BatchImportUpstreamImage – Erteilt die Berechtigung, das externe Image abzurufen und in Ihre private Registrierung zu importieren. Diese Berechtigung kann mithilfe der Berechtigungsrichtlinie für private Registrierungen, einer identitätsbasierten Richtlinie oder mithilfe der IAM Richtlinie für ressourcenbasierte Repository-Berechtigungen erteilt werden. Weitere Informationen zur Verwendung von Repository-Berechtigungen finden Sie unter Richtlinien für private Repositorys in Amazon ECR.

• ecr:CreateRepository – Gewährt die Berechtigung zum Erstellen eines Repositorys in einer privaten Registrierung. Diese Berechtigung ist erforderlich, wenn das Repository, das die zwischengespeicherten Images speichert, noch nicht existiert. Diese Berechtigung kann entweder durch eine identitätsbasierte IAM Richtlinie oder durch die Berechtigungsrichtlinie für private Registrierungen erteilt werden.

Verwenden von Registrierungsberechtigungen

Die ECR privaten Registrierungsberechtigungen von Amazon können verwendet werden, um die Berechtigungen einzelner IAM Entitäten zur Nutzung des Pull-Through-Cache einzuschränken. Wenn einer IAM Entität durch eine IAM Richtlinie mehr Berechtigungen gewährt wurden, als die Registrierungsberechtigungsrichtlinie gewährt, hat die IAM Richtlinie Vorrang. Wenn dem Benutzer beispielsweise ecr:*-Berechtigungen gewährt wurden, sind auf Registrierungsebene keine zusätzlichen Berechtigungen erforderlich.

So erstellen Sie eine Richtlinie für private Registrierungsberechtigungen (AWS Management Console)

1. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre private Registrierungsberechtigungserklärung konfigurieren möchten.

3. Wählen Sie im Navigationsbereich Private Registrierung, Registrierungsberechtigungen aus.

4. Wählen Sie auf der Seite Registrierungsberechtigungen die Option Anweisung generieren aus.

5. Gehen Sie für jede Richtlinienanweisung für Pull-Through-Cache-Berechtigungen, die Sie erstellen möchten, wie folgt vor.

   1. Wählen Sie für Richtlinientyp, Pull-Through-Cache-Richtlinie aus.

   2. Für Anweisungs-ID, geben Sie einen Namen für die Richtlinie zur Pull-Through-Cache-Anweisung an.

   3. Geben Sie für IAMEntitäten die Benutzer, Gruppen oder Rollen an, die in die Richtlinie aufgenommen werden sollen.

   4. Für Repository-Namespace, wählen Sie die Pull-Through-Cache-Regel aus, mit der Sie die Richtlinie verknüpfen möchten.

   5. Für Repository-Namen, geben Sie den Repository-Basisnamen an, für den die Regel angewendet werden soll. Wenn Sie beispielsweise das Amazon Linux-Repository auf Amazon ECR Public angeben möchten, lautet der Repository-Nameamazonlinux.

So erstellen Sie eine Richtlinie für private Registrierungsberechtigungen (AWS CLI)

Verwenden Sie den folgenden AWS CLI Befehl, um die privaten Registrierungsberechtigungen mithilfe von anzugeben AWS CLI.

1. Erstellen Sie eine lokale Datei mit dem Namen ptc-registry-policy.json mit dem Inhalt der Registrierungsrichtlinie. Das folgende Beispiel erteilt die ecr-pull-through-cache-user Berechtigung, ein Repository zu erstellen und ein Bild von Amazon ECR Public abzurufen. Amazon Public ist die Upstream-Quelle, die mit der zuvor erstellten Pull-Through-Cache-Regel verknüpft ist.

   {
     "Sid": "PullThroughCacheFromReadOnlyRole",
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
     },
     "Action": [
       "ecr:CreateRepository",
       "ecr:BatchImportUpstreamImage"
     ],
     "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
   }

   Wichtig

   Die ecr-CreateRepository-Berechtigung ist nur erforderlich, wenn das Repository, das die zwischengespeicherten Bilder speichert, noch nicht existiert. Dies ist beispielsweise der Fall, wenn die Aktion zum Erstellen des Repositorys und die Aktionen zum Abrufen von Images von unterschiedlichen IAM Prinzipalen wie einem Administrator und einem Entwickler ausgeführt werden.

2. Verwenden Sie den put-registry-policyBefehl, um die Registrierungsrichtlinie festzulegen.

   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json

Nächste Schritte

Sobald Sie bereit sind, mit der Verwendung von Pull-Through-Cache-Regeln zu beginnen, folgen die nächsten Schritte.

• Erstellen Sie eine Pull-Through-Cache-Regel. Weitere Informationen finden Sie unter Eine Pull-Through-Cache-Regel in Amazon erstellen ECR.

• Erstellen Sie eine Repository-Erstellungsvorlage. Mit einer Vorlage für die Erstellung eines Repositorys haben Sie die Kontrolle darüber, welche Einstellungen für neue Repositorys verwendet werden sollen, die Amazon in ECR Ihrem Namen während einer Pull-Through-Cache-Aktion erstellt hat. Weitere Informationen finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.