Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación
Utilice plantillas de creación de repositorios de Amazon ECR para definir la configuración que se aplicará a los repositorios creados por Amazon ECR en su nombre. La configuración de una plantilla de creación de repositorios solo se aplica durante la creación del repositorio y no tiene ningún efecto en los repositorios existentes ni en los repositorios creados mediante cualquier otro método. Actualmente, las plantillas de creación de repositorios se pueden utilizar para aplicar la configuración durante la creación del repositorio para las siguientes características:
-
Caché de extracción
-
Replicación
Las plantillas de creación de repositorio no se admiten en las siguientes regiones:
-
China (Pekín) (
cn-north-1
) -
China (Ningxia) (
cn-northwest-1
) -
AWS GovCloud (EE. UU. Este) (
us-gov-east-1
) -
AWS GovCloud (EE. UU. Oeste) (
us-gov-west-1
)
Cómo funcionan las plantillas de creación de repositorios
Hay ocasiones en las que Amazon ECR necesita crear un nuevo repositorio privado en su nombre. Por ejemplo:
-
La primera vez que utilice una regla de caché de extracción para recuperar el contenido de un repositorio principal y almacenarlo en su registro privado de Amazon ECR.
-
Cuando desee que Amazon ECR replique un repositorio en otra región o cuenta.
Cuando no hay una plantilla de creación de repositorios que se ajuste a la regla de caché de extracción o repositorio replicado, Amazon ECR utiliza la configuración predeterminada para el nuevo repositorio. Estas configuraciones predeterminadas incluyen desactivar la inmutabilidad de las etiquetas, utilizar el cifrado AES-256
y no aplicar ninguna política de repositorio o ciclo de vida.
El uso de una plantilla de creación de repositorios le permite definir los ajustes que Amazon ECR aplica a los nuevos repositorios creados mediante las acciones de caché de extracción y replicación. Puede definir la inmutabilidad de las etiquetas, la configuración del cifrado, los permisos de los repositorios, la política de ciclo de vida y las etiquetas de recursos para los nuevos repositorios.
En el siguiente diagrama, se muestra el flujo de trabajo que Amazon ECR usa cuando se usa una plantilla de creación de repositorio con una acción de caché de extracción.
A continuación se describe en detalle cada parámetro de una plantilla de creación de repositorios.
- Prefix
-
El prefijo es el prefijo del espacio de nombres del repositorio que se va a asociar a la plantilla. A todos los repositorios creados con este prefijo se les aplicará la configuración definida en esta plantilla. Por ejemplo, el prefijo de
prod
se aplicaría a todos los repositorios que comiencen porprod/
. De forma similar, el prefijo deprod/team
se aplicaría a todos los repositorios que comiencen porprod/team/
. Si, en un registro que contenga dos plantillas, una plantilla tiene el prefijo "prod" y la otra tiene el prefijo "prod/team", la plantilla con el prefijo "prod/team" se aplicará a todos los repositorios cuyos nombres comiencen con "prod/team/".Para aplicar una plantilla a todos los repositorios de su registro que no tengan una plantilla de creación asociada, puede utilizar
ROOT
como prefijo.importante
Siempre se aplica una suposición
/
al final del prefijo. Si especificaecr-public
como prefijo, Amazon ECR lo tratará comoecr-public/
. Cuando utilice una regla de caché de extracción, el prefijo de repositorio que especifique durante la creación de la regla es el que debe especificar también como prefijo de la plantilla de creación de repositorios. - Descripción
-
Esta descripción de la plantilla es opcional y se utiliza para describir el propósito de la plantilla de creación de repositorios.
- Aplicar a
-
La configuración aplicar a determina qué repositorios creados por ECR se crearán con esta plantilla. Los valores válidos son
PULL_THROUGH_CACHE
yREPLICATION
. Por ejemplo, la primera vez que utilice una regla de caché de extracción para recuperar el contenido de un repositorio de origen y almacenarlo en su registro privado de Amazon ECR. Cuando no hay una plantilla de creación de repositorios que se ajuste a la regla de caché de extracción, Amazon ECR utiliza la configuración predeterminada para el nuevo repositorio. - Rol de creación de repositorios
-
El rol de creación de repositorios es un ARN del rol de IAM que Amazon ECR asumirá al crear y configurar repositorios mediante plantillas de creación de repositorios. Este rol debe proporcionarse cuando se utilicen etiquetas de repositorio o KMS en la plantilla; de lo contrario, la creación del repositorio fallará.
- Mutabilidad de etiquetas de imágenes
-
La configuración de mutabilidad de etiquetas que se utilizará en los repositorios creados con la plantilla. Si se omite este parámetro, se utilizará la configuración predeterminada de MUTABLE, lo que permitirá sobrescribir las etiquetas de imágenes. Esta es la configuración recomendada para las plantillas utilizadas en los repositorios creados mediante acciones de caché de extracción. Esto garantiza que Amazon ECR pueda actualizar las imágenes almacenadas en caché cuando las etiquetas sean las mismas.
Si se especifica INMUTABLE, todas las etiquetas de imagen dentro del repositorio serán inmutables, lo que evitará que se sobrescriban.
- La configuración de cifrado
-
importante
El cifrado del servidor de doble capa con AWS KMS (DSSE-KMS) solo está disponible en las regiones AWS GovCloud (US).
La configuración de cifrado que se utilizará en los repositorios creados con la plantilla.
Si utiliza el tipo de cifrado de KMS, el contenido del repositorio se cifrará mediante el cifrado de lado del servidor con la clave de AWS Key Management Service almacenada en AWS KMS. Cuando utiliza AWS KMS para cifrar los datos, puede utilizar el AWS que administra la clave AWS KMS para Amazon ECR o especificar su propia clave AWS KMS, que ya ha creado. Además, puede optar por utilizar un cifrado de una capa o de doble capa con AWS KMS. Para obtener más información, consulte Cifrado en reposo. Si utiliza el tipo de cifrado KMS junto con la replicación entre regiones, es posible que necesite permisos adicionales. Para obtener más información, consulte Crear una política de claves de KMS para la replicación.
Si utiliza el tipo de cifrado AES256, Amazon ECR utiliza el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 que cifran las imágenes del repositorio mediante un algoritmo de cifrado AES-256. Para obtener más información, consulte Protección de datos mediante el cifrado del lado del servidor con las claves de cifrado administradas por Amazon S3 (SSE-S3) en la Guía del usuario de Amazon Simple Storage Service.
- Permisos de repositorio
-
La política de repositorios que se aplicará a los repositorios creados con la plantilla. Una política de repositorio utiliza permisos basados en recursos para controlar el acceso a un repositorio. Los permisos basados en recursos permiten especificar qué usuarios o roles de IAM tienen acceso a un repositorio y qué acciones pueden realizar en él. De forma predeterminada, solo la cuenta de AWS que creó el repositorio tiene acceso a él. Puede aplicar un documento de política para otorgar o denegar permisos adicionales a su repositorio. Para obtener más información, consulte Políticas de repositorios privados en Amazon ECR.
- Política del ciclo de vida de repositorio
-
La política de ciclo de vida que se utilizará para los repositorios creados con la plantilla. Una política de ciclo de vida proporciona más control sobre la administración del ciclo de vida de las imágenes en un repositorio privado. Una política de ciclo de vida incluye una o varias reglas, en la que cada regla define una acción de Amazon ECR. Esto proporciona una forma de automatizar la limpieza de sus imágenes de contenedor, cuyo vencimiento se produce en función de su antigüedad o recuento. Para obtener más información, consulte Automatice la limpieza de imágenes mediante el uso de políticas de ciclo de vida en Amazon ECR.
- Etiquetas de recursos
-
Las etiquetas de recursos son metadatos que se aplican a los repositorios para ayudarlo a categorizarlos y organizarlos. Cada etiqueta está formada por una clave y un valor opcional, ambos definidos por el usuario. Si utiliza plantillas de creación de repositorios con replicación entre regiones, este permiso se debe aplicar a la política de registro de destino.