Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ECRService-verknüpfte Rolle mit Amazon für den Pull-Through-Cache
Amazon ECR verwendet eine servicebezogene Rolle mit AWSServiceRoleForECRPullThroughCachedem Namen, die Amazon die Erlaubnis erteiltECR, in Ihrem Namen Aktionen durchzuführen, um Cache-Aktionen durchzuführen. Weitere Informationen zum Pull-Through-Cache finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.
Servicebezogene Rollenberechtigungen für Amazon ECR
Die AWSServiceRoleForECRPullThroughCachedienstbezogene Rolle vertraut darauf, dass der folgende Dienst die Rolle übernimmt.
-
pullthroughcache.ecr.amazonaws.com
Details zu Berechtigungen
Die Berechtigungsrichtlinie AWSECRPullThroughCache_ServiceRolePolicy ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie erteilt Amazon die ECR Erlaubnis, die folgenden Aktionen durchzuführen. Weitere Informationen finden Sie unter AWSECRPullThroughCache_ServiceRolePolicy.
-
ecr— Ermöglicht dem ECR Amazon-Service, Bilder in ein privates Repository zu übertragen. -
secretsmanager:GetSecretValue— Ermöglicht dem ECR Amazon-Service, den verschlüsselten Inhalt eines AWS Secrets Manager Geheimnisses abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung in Ihrer privaten Registry erforderlich ist. Diese Berechtigung gilt nur für Secrets mit dem Namenspräfixecr-pullthroughcache/.
Die AWSECRPullThroughCache_ServiceRolePolicy Richtlinie beinhaltet FolgendesJSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECR", "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.
Eine servicebezogene Rolle für Amazon erstellen ECR
Sie müssen die mit dem Amazon ECR Service verknüpfte Rolle für den Pull-Through-Cache nicht manuell erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung im AWS Management Console, dem AWS CLI oder dem erstellen AWS API, ECR erstellt Amazon die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung erstellen, ECR erstellt Amazon die serviceverknüpfte Rolle erneut für Sie, sofern sie noch nicht vorhanden ist.
Bearbeitung einer serviceverknüpften Rolle für Amazon ECR
Amazon erlaubt ECR es nicht, die AWSServiceRoleForECRPullThroughCacheserviceverknüpfte Rolle manuell zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.
Löschen der serviceverknüpften Rolle für Amazon ECR
Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Pull-Through-Cache-Regeln für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
Anmerkung
Wenn Sie versuchen, Ressourcen zu löschen, während der ECR Amazon-Service die Rolle noch verwendet, schlägt Ihre Löschaktion möglicherweise fehl. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
Um ECR Amazon-Ressourcen zu löschen, die von der AWSServiceRoleForECRPullThroughCacheserviceverknüpften Rolle verwendet werden
Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/
. -
Wählen Sie auf der Navigationsleiste die Region aus, in der Ihre Pull-Through-Cache-Regeln erstellt werden.
-
Wählen Sie im Navigationsbereich die Option Private Registrierung.
-
Wählen Sie auf der Seite Private Registry im Abschnitt Pull-Through-Cache-Konfiguration die Option Bearbeiten aus.
-
Wählen Sie für jede von Ihnen erstellte Pull-Through-Cache-Regel die Regel aus und wählen Sie dann Regel löschen.
Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForECRPullThroughCachedienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
