Uso de imágenes de Amazon ECR con Amazon ECS - Amazon ECR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de imágenes de Amazon ECR con Amazon ECS

Puede utilizar los repositorios privados de Amazon ECR para alojar imágenes de contenedor y artefactos desde los que puedan realizar extracciones las tareas de Amazon ECS. Para que esto funcione, el agente de contenedor de Amazon ECS o Fargate debe tener permisos para crear las API ecr:BatchGetImage, ecr:GetDownloadUrlForLayer y ecr:GetAuthorizationToken.

Permisos de IAM necesarios

En la siguiente tabla se muestra el rol de IAM que se debe utilizar para cada tipo de lanzamiento que proporciona los permisos necesarios para que las tareas puedan realizar extracciones desde un repositorio privado de Amazon ECR. Amazon ECS proporciona políticas de IAM administradas que incluyen los permisos necesarios.

Tipo de lanzamiento Rol de IAM AWS política de IAM gestionada
Amazon ECS en instancias de Amazon EC2

Utilice el rol de IAM de instancia de contenedor, que está asociado a la instancia de Amazon EC2 registrada en el clúster de Amazon ECS. Para obtener más información, consulte Rol de IAM de instancia de contenedor en la Guía para desarrolladores de Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Para obtener más información, consulte AmazonEC2ContainerServiceforEC2Role en la Guía para desarrolladores de Amazon Elastic Container Service.

Amazon ECS alojado en Fargate

Utilice el rol de IAM de ejecución de tareas al que haga referencia en la definición de la tarea de Amazon ECS. Para obtener más información, consulte Rol de IAM de ejecución de tareas en la Guía para desarrolladores de Amazon Elastic Container Service.

AmazonECSTaskExecutionRolePolicy

Para obtener más información, consulte AmazonECSTaskExecutionRolePolicy en la Guía para desarrolladores de Amazon Elastic Container Service.

Amazon ECS en instancias externas

Utilice el rol de IAM de instancia de contenedor, que está asociado al servidor ubicado en las instalaciones o la máquina virtual (VM) registrados en el clúster de Amazon ECS. Para obtener más información, consulte Rol de IAM de instancia de contenedor de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Para obtener más información, consulte AmazonEC2ContainerServiceforEC2Role en la Guía para desarrolladores de Amazon Elastic Container Service.

importante

Las políticas de IAM AWS gestionadas contienen permisos adicionales que quizás no necesite para su uso. En tal caso, estos son los permisos mínimos necesarios para realizar extracciones desde un repositorio privado de Amazon ECR.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }

Especificación de una imagen de Amazon ECR en una definición de tarea de Amazon ECS

Cuando se crea una definición de tarea de Amazon ECS, se puede especificar una imagen de contenedor alojada en un repositorio privado de Amazon ECR. En la definición de tarea, asegúrese de utilizar la nomenclatura de registry/repository:tag completa para las imágenes de Amazon ECR. Por ejemplo, aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest.

El siguiente fragmento de definición de tarea muestra la sintaxis que debería utilizar para especificar una imagen de contenedor alojada en Amazon ECR en la definición de tarea de Amazon ECS.

{ "family": "task-definition-name", ... "containerDefinitions": [ { "name": "container-name", "image": "aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest", ... } ], ... }