Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de imágenes de Amazon ECR con Amazon ECS
Puede utilizar los repositorios privados de Amazon ECR para alojar imágenes de contenedor y artefactos desde los que puedan realizar extracciones las tareas de Amazon ECS. Para que esto funcione, el agente de contenedor de Amazon ECS o Fargate debe tener permisos para crear las API ecr:BatchGetImage, ecr:GetDownloadUrlForLayer y ecr:GetAuthorizationToken.
Permisos de IAM necesarios
En la siguiente tabla se muestra el rol de IAM que se debe utilizar para cada tipo de lanzamiento que proporciona los permisos necesarios para que las tareas puedan realizar extracciones desde un repositorio privado de Amazon ECR. Amazon ECS proporciona políticas de IAM administradas que incluyen los permisos necesarios.
| Tipo de lanzamiento | Rol de IAM | Política de IAM administrada de AWS |
|---|---|---|
| Amazon ECS en instancias de Amazon EC2 |
Utilice el rol de IAM de instancia de contenedor, que está asociado a la instancia de Amazon EC2 registrada en el clúster de Amazon ECS. Para obtener más información, consulte Rol de IAM de instancia de contenedor en la Guía para desarrolladores de Amazon Elastic Container Service. |
Para obtener más información, consulte AmazonEC2ContainerServiceforEC2Role en la Guía para desarrolladores de Amazon Elastic Container Service. |
|
Amazon ECS alojado en Fargate |
Utilice el rol de IAM de ejecución de tareas al que haga referencia en la definición de la tarea de Amazon ECS. Para obtener más información, consulte Rol de IAM de ejecución de tareas en la Guía para desarrolladores de Amazon Elastic Container Service. |
Para obtener más información, consulte AmazonECSTaskExecutionRolePolicy en la Guía para desarrolladores de Amazon Elastic Container Service. |
|
Amazon ECS en instancias externas |
Utilice el rol de IAM de instancia de contenedor, que está asociado al servidor ubicado en las instalaciones o la máquina virtual (VM) registrados en el clúster de Amazon ECS. Para obtener más información, consulte Rol de IAM de instancia de contenedor de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service. |
Para obtener más información, consulte AmazonEC2ContainerServiceforEC2Role en la Guía para desarrolladores de Amazon Elastic Container Service. |
importante
Las políticas de IAM administradas de AWS contienen permisos adicionales que es posible que no necesite para su uso. En tal caso, estos son los permisos mínimos necesarios para realizar extracciones desde un repositorio privado de Amazon ECR.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
Especificación de una imagen de Amazon ECR en una definición de tarea de Amazon ECS
Cuando se crea una definición de tarea de Amazon ECS, se puede especificar una imagen de contenedor alojada en un repositorio privado de Amazon ECR. En la definición de tarea, asegúrese de utilizar la nomenclatura de registry/repository:tag completa para las imágenes de Amazon ECR. Por ejemplo, aws_account_id.dkr.ecr.region.amazonaws.com/.my-repository:latest
El siguiente fragmento de definición de tarea muestra la sintaxis que debería utilizar para especificar una imagen de contenedor alojada en Amazon ECR en la definición de tarea de Amazon ECS.
{ "family": "task-definition-name", ... "containerDefinitions": [ { "name": "container-name", "image": "aws_account_id.dkr.ecr.region.amazonaws.com/", ... } ], ... }my-repository:latest
