Función vinculada al servicio Amazon ECR para plantillas de creación de repositorios

Amazon ECR utiliza un rol vinculado a un servicio denominado AWSServiceRoleForECRTemplateque permite a Amazon ECR realizar acciones en su nombre para completar las acciones de la plantilla de creación de repositorios.

Permisos de roles vinculados a servicios para Amazon ECR

El rol AWSServiceRoleForECRTemplatevinculado al servicio confía en que el siguiente servicio asuma el rol.

• ecr.amazonaws.com

Detalles de los permisos

La política de permisos ECRTemplateServiceRolePolicy se adjunta al rol vinculado al servicio. Esta política gestionada otorga a Amazon ECR permiso para realizar acciones de creación de repositorios en su nombre.

La política ECRTemplateServiceRolePolicy contiene los siguientes JSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
	    "Sid": "CreateRepositoryWithTemplate",
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository"
            ],
            "Resource": "*"
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como, por ejemplo, un usuario, grupo o rol) crear, editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Amazon ECR

No es necesario crear manualmente el rol vinculado al servicio Amazon ECR para la plantilla de creación de repositorios. Cuando crea una regla de plantilla de creación de repositorios para su registro privado en la AWS Management Console AWS CLI, la o la AWS API, Amazon ECR crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una regla de creación de repositorios para su registro privado, Amazon ECR vuelve a crear el rol vinculado al servicio para usted si aún no existe.

Edición de un rol vinculado a un servicio para Amazon ECR

Amazon ECR no permite editar manualmente el rol vinculado al AWSServiceRoleForECRTemplateservicio. Una vez creado el rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon ECR

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe eliminar las reglas de creación de repositorios de su registro en cada región antes de poder eliminar manualmente el rol vinculado al servicio.

nota

Si intenta eliminar recursos mientras el servicio Amazon ECR sigue utilizando el rol, es posible que la acción de eliminación falle. Si eso sucede, espere unos minutos e inténtelo de nuevo.

Para eliminar los recursos de Amazon ECR utilizados por el rol vinculado a servicios AWSServiceRoleForECRTemplate:

1. Abra la consola de Amazon ECR en https://console.aws.amazon.com/ecr/.

2. En la barra de navegación, elige la región en la que se crean las reglas de creación de repositorios.

3. En el panel de navegación, elija Private registry (Registro privado).

4. En la página de registro privado, en la sección de plantillas de creación de repositorios, selecciona Editar.

5. Para cada regla de creación de repositorios que haya creado, selecciónela y, a continuación, elija Eliminar regla.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForECRTemplateservicio. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.