Utilisation des autorisations de registre Étapes suivantes

Autorisations IAM requises pour synchroniser un registre en amont avec un registre privé Amazon ECR

Outre les autorisations d'API Amazon ECR nécessaires pour s'authentifier auprès d'un registre privé et pour transférer et extraire des images, les autorisations supplémentaires suivantes sont nécessaires pour utiliser efficacement les règles de mise en cache par extraction.

ecr:CreatePullThroughCacheRule – Accorde l'autorisation de créer une règle de cache par extraction. Cette autorisation doit être accordée via une politique IAM basée sur l'identité.
ecr:BatchImportUpstreamImage – Accorde l'autorisation de récupérer l'image externe et de l'importer dans votre registre privé. Cette autorisation peut être accordée à l'aide de la politique d'autorisation du registre privé, d'une politique IAM basée sur l'identité ou de la politique d'autorisations de référentiel basée sur les ressources. Pour plus d'informations sur l'utilisation d'autorisations de référentiel, consultez Politiques relatives aux référentiels privés dans Amazon ECR.
ecr:CreateRepository – Accorde l'autorisation de créer un référentiel dans un registre privé. Cette autorisation est requise si le référentiel stockant les images mises en cache n'existe pas déjà. Cette autorisation peut être accordée soit par une politique IAM basée sur l'identité, soit par la politique d'autorisation du registre privé.

Utilisation des autorisations de registre

Les autorisations du registre privé Amazon ECR peuvent être utilisées pour étendre les autorisations des entités IAM individuelles à utiliser la mise en cache par extraction. Si une entité IAM dispose de plus d'autorisations accordées par une politique IAM que celles accordées par la politique d'autorisations de registre, la politique IAM a la priorité. Par exemple, si un utilisateur dispose des autorisations ecr:*, aucune autorisation supplémentaire n'est nécessaire au niveau du registre.

Ouvrez la console Amazon ECR à https://console.aws.amazon.com/ecr/l'adresse.
Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez configurer votre instruction d'autorisations de registre privé.
Dans le panneau de navigation, choisissez Private registry (Registre privé), Registry permissions (Autorisations du registre).
Dans la page Registry permissions (Autorisations de registre), choisissez Generate statement (Générer une instruction).
Pour chaque instruction de politique d'autorisations de mise en cache par extraction que vous souhaitez créer, procédez comme suit.
1. Pour Policy type (Type de politique), choisissez Pull through cache policy (Politique de mise en cache par extraction).
2. Pour Statement id (ID d'instruction), fournissez un nom pour l'instruction de politique de mise en cache par extraction.
3. Pour IAM entities (Entités IAM), indiquez les utilisateurs, groupes ou rôles à inclure dans la politique.
4. Pour Repository namespace (Espace de noms de référentiel), sélectionnez la règle de mise en cache par extraction à laquelle associer la politique.
5. Pour Repository names (Noms de référentiel), spécifiez le nom de base du référentiel pour lequel appliquer la règle. Par exemple, si vous voulez spécifier le référentiel Amazon Linux sur Amazon ECR Public, le nom du référentiel sera amazonlinux.

Utilisez la AWS CLI commande suivante pour spécifier les autorisations de registre privé à l'aide du AWS CLI.

Créez un fichier local nommé ptc-registry-policy.json avec le contenu de la politique de référentiel. L'exemple suivant accorde à ecr-pull-through-cache-user l'autorisation de créer un référentiel et d'extraire une image depuis Amazon ECR Public, qui est la source en amont associée à la règle de cache par extraction précédemment créée.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PullThroughCacheFromReadOnlyRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
      },
      "Action": [
        "ecr:CreateRepository",
        "ecr:BatchImportUpstreamImage"
      ],
      "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
    }
  ]
} 
```
Important
L'autorisation ecr-CreateRepository n'est requise que si le référentiel stockant les images mises en cache n'existe pas déjà. Par exemple, si l'action de création du référentiel et les actions d'extraction d'image sont effectuées par des IAM principaux distincts tels qu'un administrateur et un développeur.

Utilisez la put-registry-policycommande pour définir la politique de registre.


aws ecr put-registry-policy \
     --policy-text file://ptc-registry.policy.json

Étapes suivantes

Une fois que vous êtes prêt à commencer à utiliser les règles de mise en cache par extraction, procédez comme suit.

Créez une règle de mise en cache par extraction. Pour de plus amples informations, veuillez consulter Création d'une règle de cache d'extraction dans Amazon ECR.
Créez un modèle de création de référentiel. Un modèle de création de référentiel vous permet de définir les paramètres à utiliser pour les nouveaux référentiels créés par Amazon ECR en votre nom lors d'une action de mise en cache par extraction. Pour de plus amples informations, veuillez consulter Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Synchroniser un registre en amont

Configuration des autorisations entre comptes ECR et ECR PTC

Autorisations IAM requises pour synchroniser un registre en amont avec un registre privé Amazon ECR

Utilisation des autorisations de registre

Important

Étapes suivantes