Vorlage zur Erstellung eines Repositorys in Amazon ECR erstellen - Amazon ECR
IAM-Berechtigungen zum Erstellen von Vorlagen zur Repository-ErstellungErstellen Sie eine Vorlage zur Erstellung eines Repositorys

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vorlage zur Erstellung eines Repositorys in Amazon ECR erstellen

Sie können eine Repository-Erstellungsvorlage erstellen, um die Einstellungen zu definieren, die für Repositorys verwendet werden sollen, die von Amazon ECR in Ihrem Namen während Pull-Through-Cache- oder Replikationsaktionen erstellt wurden. Sobald die Repository-Erstellungsvorlage erstellt wurde, werden die Einstellungen auf alle neu erstellten Repositorys angewendet. Dies hat keine Auswirkungen auf zuvor erstellte Repositorys.

Wenn Sie ein Repository mit Vorlagen einrichten, haben Sie die Möglichkeit, KMS-Schlüssel und Ressourcen-Tags anzugeben. Wenn Sie KMS-Schlüssel, Ressourcen-Tags oder eine Kombination aus beidem in einer oder mehreren Vorlagen verwenden möchten, müssen Sie:

Nach der Konfiguration können Sie die benutzerdefinierte Rolle bestimmten Vorlagen in Ihrer Registrierung zuordnen.

IAM-Berechtigungen zum Erstellen von Vorlagen zur Repository-Erstellung

Die folgenden Berechtigungen sind erforderlich, damit ein IAM-Prinzipal Repository-Erstellungsvorlagen verwalten kann. Diese Berechtigungen müssen über eine identitätsbasierte IAM-Richtlinie gewährt werden.

  • ecr:CreateRepositoryCreationTemplate – Erteilt die Berechtigung zum Erstellen einer Repository-Erstellungsvorlage.

  • ecr:UpdateRepositoryCreationTemplate— Erteilt die Erlaubnis, eine Vorlage für die Repository-Erstellung zu aktualisieren.

  • ecr:DescribeRepositoryCreationTemplates— Erteilt die Erlaubnis, Vorlagen für die Erstellung eines Repositorys in einer Registrierung aufzulisten.

  • ecr:DeleteRepositoryCreationTemplate – Erteilt die Berechtigung zum Löschen einer Repository-Erstellungsvorlage.

  • ecr:CreateRepository— Erteilt die Erlaubnis, ein Amazon ECR-Repository zu erstellen.

  • ecr:PutLifecyclePolicy – Erteilt die Berechtigung zum Erstellen einer Lebenszyklusrichtlinie und deren Anwendung auf ein Repository. Diese Berechtigung ist nur erforderlich, wenn die Repository-Erstellungsvorlage eine Lebenszyklusrichtlinie enthält.

  • ecr:SetRepositoryPolicy – Erteilt die Berechtigung zum Erstellen einer Berechtigungsrichtlinie für ein Repository. Diese Berechtigung ist nur erforderlich, wenn die Repository-Erstellungsvorlage eine Repository-Richtlinie enthält.

  • iam:PassRole— Erteilt die Erlaubnis, einer Entität zu gestatten, eine Rolle an einen Service oder eine Anwendung zu übergeben. Diese Berechtigung ist für Dienste und Anwendungen erforderlich, die eine Rolle übernehmen müssen, um Aktionen in Ihrem Namen auszuführen.

Erstellen Sie eine Vorlage zur Erstellung eines Repositorys

Sobald Sie die erforderlichen Voraussetzungen für Ihre Vorlagen erfüllt haben, können Sie mit der Erstellung der Vorlagen für die Repository-Erstellung fortfahren.

AWS Management Console
So erstellen Sie eine Repository-Erstellungsvorlage (AWS Management Console)

  1. Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/.

  2. Wählen Sie in der Navigationsleiste die Region, in der Sie die Repository-Erstellungsvorlage erstellen möchten.

  3. Wählen Sie im Navigationsbereich Private Registrierung und Repository-Erstellungsvorlagen aus.

  4. Wählen Sie auf der Seite Repository-Erstellungsvorlagen die Option Vorlage erstellen aus.

  5. Wählen Sie auf der Seite Schritt 1: Vorlage definieren unter Vorlagendetails die Option Ein bestimmtes Präfix aus, um die Vorlage auf ein bestimmtes Repository-Namespace-Präfix anzuwenden, oder wählen Sie Beliebiges Präfix in Ihrer ECR-Registrierung, um die Vorlage auf alle Repositorys anzuwenden, die keiner anderen Vorlage in der Region entsprechen.

    1. Wenn Sie Ein bestimmtes Präfix wählen, geben Sie unter Präfix das Repository-Namespace-Präfix an, auf das die Vorlage angewendet werden soll. Es wird immer ein / am Ende des Präfixes angenommen. Das Präfix prod würde beispielsweise für alle Repositorys gelten, die mit prod/ beginnen. Ähnlich würde das Präfix prod/team für alle Repositorys gelten, die mit prod/team/ beginnen.

    2. Wenn Sie Beliebiges Präfix in Ihrer ECR-Registrierung wählen, wird das Präfix auf ROOT gesetzt.

  6. Geben Sie unter Beantragt für an, für welche Amazon ECR-Workflows diese Vorlage gelten soll. Die Optionen sind PULL_THROUGH_CACHE und REPLICATION.

  7. Geben Sie unter Vorlagenbeschreibung eine optionale Beschreibung für die Vorlage ein und wählen Sie dann Weiter.

  8. Geben Sie auf der Seite Schritt 2: Konfiguration für Repository-Erstellung hinzufügen die Konfiguration der Repository-Einstellungen an, die auf Repositorys angewendet werden soll, die mit der Vorlage erstellt wurden.

    1. Wählen Sie für Veränderlichkeit von Image-Tags die zu verwendende Einstellung für die Veränderlichkeit von Tags. Weitere Informationen finden Sie unter Verhindern, dass Bild-Tags in Amazon ECR überschrieben werden.

      • Veränderbar — Wählen Sie diese Option, wenn Sie möchten, dass Bild-Tags überschrieben werden. Empfohlen für Repositorys, die Pull-Through-Cache-Aktionen verwenden, um sicherzustellen, dass Amazon ECR zwischengespeicherte Bilder aktualisieren kann. Um Tag-Updates für einige veränderbare Tags zu deaktivieren, geben Sie außerdem Tag-Namen ein oder verwenden Sie Platzhalter (*), um mehrere ähnliche Tags im Textfeld zum Ausschluss veränderbarer Tags abzugleichen.

      • Unveränderlich — Wählen Sie diese Option, wenn Sie verhindern möchten, dass Bild-Tags überschrieben werden. Sie gilt für alle Tags und Ausschlüsse im Repository, wenn Sie ein Bild mit vorhandenem Tag übertragen. Amazon ECR gibt eine zurück, ImageTagAlreadyExistsException wenn Sie versuchen, ein Bild mit einem vorhandenen Tag zu pushen. Um Tag-Updates für einige unveränderliche Tags zu aktivieren, geben Sie außerdem Tagnamen ein oder verwenden Sie Platzhalter (*), um mehrere ähnliche Tags im Textfeld zum Ausschluss unveränderlicher Tags abzugleichen.

    2. Wählen Sie für die Verschlüsselungskonfiguration die zu verwendende Verschlüsselungseinstellung aus. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand.

      Wenn AES-256 ausgewählt ist, verwendet Amazon ECR eine serverseitige Verschlüsselung mit von Amazon Simple Storage Service verwalteten Verschlüsselungsschlüsseln, die Ihre Daten im Ruhezustand mit dem branchenüblichen AES-256-Verschlüsselungsalgorithmus verschlüsseln. Dies wird ohne zusätzliche Kosten angeboten.

      Wenn AWS -KMS ausgewählt ist, verwendet Amazon ECR serverseitige Verschlüsselung mit Schlüsseln, die in AWS Key Management Service (AWS KMS) gespeichert sind. Wenn Sie Ihre Daten verschlüsseln, können Sie entweder den standardmäßigen AWS verwalteten Schlüssel verwenden, der von Amazon ECR verwaltet wird, oder Ihren eigenen AWS KMS Schlüssel angeben, der als vom Kunden verwalteter Schlüssel bezeichnet wird. AWS KMS

      Anmerkung

      Die Verschlüsselungseinstellungen für ein Repository können nicht geändert werden, sobald das Repository erstellt wurde.

    3. Geben Sie für Repository-Berechtigungen die Richtlinie für Repository-Berechtigungen an, die auf Repositorys angewendet werden soll, die mit dieser Vorlage erstellt wurden. Sie können optional das Auswahlmenü verwenden, um eines der JSON-Beispiele für die häufigsten Anwendungsfälle auszuwählen. Weitere Informationen finden Sie unter Richtlinien für private Repositorys in Amazon ECR.

    4. Geben Sie unter Repository-Lebenszyklusrichtlinie die Repository-Lebenszyklusrichtlinie an, die auf Repositorys angewendet werden soll, die mit dieser Vorlage erstellt wurden. Sie können optional das Auswahlmenü verwenden, um eines der JSON-Beispiele für die häufigsten Anwendungsfälle auszuwählen. Weitere Informationen finden Sie unter Automatisieren Sie die Bereinigung von Bildern mithilfe von Lebenszyklusrichtlinien in Amazon ECR.

    5. Geben Sie für AWS Repository-Tags die Metadaten in Form von Schlüssel-Wert-Paaren an, die den mit dieser Vorlage erstellten Repositorys zugeordnet werden sollen, und wählen Sie dann Weiter. Weitere Informationen finden Sie unter Kennzeichnen eines privaten Repositorys in Amazon ECR.

    6. Wählen Sie unter Repository-Erstellungsrolle eine benutzerdefinierte IAM-Rolle aus dem Drop-down-Menü aus, die für Vorlagen zur Repository-Erstellung verwendet werden soll, wenn Repository-Tags oder KMS in der Vorlage verwendet werden (Erstellen Sie eine IAM-Rolle für Vorlagen zur Repository-ErstellungEinzelheiten finden Sie unter). Wählen Sie dann Weiter.

  9. Überprüfen Sie auf der Seite Schritt 3: Überprüfen und erstellen die Einstellungen, die Sie für die Repository-Erstellungsvorlage angegeben haben. Sie können die Option Bearbeiten auswählen, um Änderungen vorzunehmen. Wählen Sie anschließend Erstellen.

AWS CLI

Der create-repository-creation-template AWS CLI Befehl wird verwendet, um eine Vorlage zur Erstellung eines Repositorys für Ihre private Registrierung zu erstellen.

So erstellen Sie eine Repository-Erstellungsvorlage (AWS CLI)

  1. Verwenden Sie den AWS CLI , um ein Skelett für den create-repository-creation-templateBefehl zu generieren.

    aws ecr create-repository-creation-template \
    --generate-cli-skeleton

    In der Ausgabe des Befehls wird die vollständige Syntax der Vorlage für die Repository-Erstellung angezeigt. 

    {
"appliedFor":[""], // string array, but valid are PULL_THROUGH_CACHE and REPLICATION
"prefix": "string",
    "description": "string",
    "imageTagMutability": "MUTABLE"|"IMMUTABLE"|"IMMUTABLE_WITH_EXCLUSION"|"MUTABLE_WITH_EXCLUSION",
    "imageTagMutabilityExclusionFilters": [
        "filterType": "WILDCARD",
        "filter": "string"
    ],
    "repositoryPolicy": "string",
    "lifecyclePolicy": "string"
"encryptionConfiguration": {
"encryptionType": "AES256"|"KMS",
        "kmsKey": "string"
    },
    "resourceTags": [
        {
"Key": "string",
            "Value": "string"
        }
    ],
    "customRoleArn": "string", // must be a valid IAM Role ARN
}

  2. Erstellen Sie eine Datei repository-creation-template.json mit dem Namen der Ausgabe des vorherigen Schritts. Diese Vorlage legt einen KMS-Verschlüsselungsschlüssel für jedes Repository fest, das unter prod/* einer Repository-Richtlinie erstellt wurde, die das Pushen und Abrufen von Bildern in future Repositorys ermöglicht, legt eine Lebenszyklusrichtlinie fest, nach der Bilder, die älter als zwei Wochen sind, ablaufen, und legt eine benutzerdefinierte Rolle fest, mit der ECR auf den KMS-Schlüssel zugreifen und das Ressourcen-Tag future Repositorys zuweisen examplekey kann.

    {
"prefix": "prod",
    "description": "For repositories cached from my PTC rule and in my replication configuration that start with 'prod/'",
    "appliedFor": ["PULL_THROUGH_CACHE","REPLICATION"],
    "encryptionConfiguration": {
"encryptionType": "KMS",
        "kmsKey": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-example11111"
    },
    "resourceTags": [
        {
"Key": "examplekey",
            "Value": "examplevalue"
        }
    ],
    "imageTagMutability": "IMMUTABLE_WITH_EXCLUSION",
    "imageTagMutabilityExclusionFilters": [
      {
      "filterType": "WILDCARD",
      "filter": "latest"
      },
      {
      "filterType": "WILDCARD",
      "filter": "beta*"
      }
    ]
    "repositoryPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllowPushPullIAMRole\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::111122223333:user\/IAMusername\"},\"Action\":[\"ecr:BatchGetImage\",\"ecr:BatchCheckLayerAvailability\",\"ecr:CompleteLayerUpload\",\"ecr:GetDownloadUrlForLayer\",\"ecr:InitiateLayerUpload\",\"ecr:PutImage\",\"ecr:UploadLayerPart\"]}]}", 
    "lifecyclePolicy": "{\"rules\":[{\"rulePriority\":1,\"description\":\"Expire images older than 14 days\",\"selection\":{\"tagStatus\":\"any\",\"countType\":\"sinceImagePushed\",\"countUnit\":\"days\",\"countNumber\":14},\"action\":{\"type\":\"expire\"}}]}",
    "customRoleArn": "arn:aws:iam::111122223333:role/myRole"
}

  3. Verwenden Sie den folgenden Befehl, um eine Vorlage für die Erstellung eines Repositorys zu erstellen. Stellen Sie sicher, dass Sie den Namen der im vorherigen Schritt erstellten Konfigurationsdatei anstelle des Namens repository-creation-template.json im folgenden Beispiel angeben.

    aws ecr create-repository-creation-template \
    --cli-input-json file://repository-creation-template.json