Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon ECR utiliza un rol vinculado a un servicio denominado AWSServiceRoleForECRPullThroughCacheque permite a Amazon ECR realizar acciones en su nombre para completar las acciones de extracción de caché. Para obtener más información acerca de la caché de extracción, consulte Plantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.
Permisos de roles vinculados a servicios para Amazon ECR
El rol AWSServiceRoleForECRPullThroughCachevinculado al servicio confía en que el siguiente servicio asuma el rol.
-
pullthroughcache.ecr.amazonaws.com
Detalles de los permisos
La política de permisos AWSECRPullThroughCache_ServiceRolePolicy se adjunta al rol vinculado al servicio. Esta política administrada otorga a Amazon ECR permiso para realizar las siguientes acciones. Para obtener más información, consulte AWSECRPullThroughCache_ServiceRolePolicy.
-
ecr: permite que el servicio Amazon ECR envíe imágenes a un repositorio privado. -
secretsmanager:GetSecretValue— Permite que el servicio Amazon ECR recupere el contenido cifrado de un AWS Secrets Manager secreto. Esto es necesario cuando se utiliza una regla de caché de extracción para almacenar en caché las imágenes de un registro anterior que requiere autenticación en un registro privado. Este permiso solo se aplica a los secretos con el prefijo de nombreecr-pullthroughcache/.
La política AWSECRPullThroughCache_ServiceRolePolicy contiene los siguientes JSON.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}Debe configurar permisos para permitir a una entidad de IAM (como, por ejemplo, un usuario, grupo o rol) crear, editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio para Amazon ECR
No es necesario crear manualmente el rol vinculado a servicios de Amazon ECR para la extracción de caché. Cuando crea una regla de extracción de caché para su registro privado en la AWS Management Console, la AWS CLI o la AWS API, Amazon ECR crea automáticamente la función vinculada al servicio.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una regla de caché de extracción para su registro privado, Amazon ECR crea el rol vinculado a servicios nuevamente para usted si aún no existe.
Edición de un rol vinculado a un servicio para Amazon ECR
Amazon ECR no permite editar manualmente el rol vinculado al AWSServiceRoleForECRPullThroughCacheservicio. Una vez creado el rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio para Amazon ECR
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. No obstante, debe eliminar las reglas de caché de extracción para su registro en cada región antes de poder eliminar manualmente el rol vinculado a servicios.
nota
Si intenta eliminar recursos mientras el servicio Amazon ECR sigue utilizando el rol, es posible que la acción de eliminación falle. Si eso sucede, espere unos minutos e inténtelo de nuevo.
Para eliminar los recursos de Amazon ECR utilizados por el rol vinculado a servicios AWSServiceRoleForECRPullThroughCache:
Abra la consola Amazon ECR en https://console.aws.amazon.com/ecr/
. -
En la barra de navegación, elija la región donde se crean las reglas de caché de extracción.
-
En el panel de navegación, elija Private registry (Registro privado).
-
En la página Private registry (Registro privado), en la sección Pull through cache configuration (Configuración de la caché de extracción), elija Edit (Editar).
-
Para cada regla de caché de extracción que haya creado, seleccione la regla y, a continuación, elija Delete rule (Eliminar regla).
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForECRPullThroughCacheservicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
