Configurar los permisos de ECR entre cuentas a ECR PTC - Amazon ECR
Las políticas de IAM son obligatorias para transferir el caché de extracción de ECR a ECR entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar los permisos de ECR entre cuentas a ECR PTC

La función de caché de extracción de Amazon ECR a Amazon ECR (ECR a ECR) permite la sincronización automática de imágenes entre regiones, AWS cuentas o ambas. Con ECR a ECR PTC, puede insertar imágenes en el registro principal de Amazon ECR y configurar una regla de caché de extracción para almacenar en caché las imágenes en los registros descendentes de Amazon ECR.

Las políticas de IAM son obligatorias para transferir el caché de extracción de ECR a ECR entre cuentas

Para almacenar en caché imágenes entre los registros de Amazon ECR de diferentes AWS cuentas, cree un rol de IAM en la cuenta descendente y configure las políticas de esta sección para proporcionar los siguientes permisos:

  • Amazon ECR necesita permisos para extraer imágenes del registro ascendente de Amazon ECR en su nombre. Puede otorgar estos permisos al crear un rol de IAM y luego especificarlo en la regla de caché de extracción.

  • El propietario del registro ascendente también debe otorgar al propietario del registro de caché los permisos necesarios para insertar imágenes en las políticas de recursos.

Crear un rol de IAM para definir los permisos de caché de extracción

El siguiente ejemplo muestra una política de permisos que otorga a un rol de IAM permiso para extraer imágenes del registro ascendente de Amazon ECR en su nombre. Cuando Amazon ECR asume el rol, recibe los permisos especificados en esta política.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Crear una política de confianza para el rol de IAM

El siguiente ejemplo muestra una política de confianza que identifica a Amazon ECR pull through cache como el principal de AWS servicio que puede asumir la función.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Crear una política de recursos en el registro ascendente de Amazon ECR

El propietario del registro ascendente de Amazon ECR también debe agregar una política de registro o una política de repositorio para otorgarle al propietario del registro descendente los permisos necesarios para realizar las siguientes acciones. 

{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}