Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication - Amazon ECR
Comment ça marche

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication

Utilisez les modèles de création de ECR référentiels Amazon pour définir les paramètres des référentiels créés par Amazon ECR en votre nom. Les paramètres d'un modèle de création de référentiel ne sont appliqués que lors de la création du référentiel et n'ont aucun effet sur les référentiels existants ou les référentiels créés à l'aide d'une autre méthode. Actuellement, les modèles de création de référentiel peuvent être utilisés pour appliquer des paramètres lors de la création de référentiels pour les fonctionnalités suivantes :

  • Extraire le cache

  • Réplication

Les modèles de création de référentiels ne sont pas pris en charge dans les régions suivantes :

  • Chine (Beijing) (cn-north-1)

  • Chine (Ningxia) (cn-northwest-1)

  • AWS GovCloud (USA Est) (us-gov-east-1)

  • AWS GovCloud (US-Ouest) (us-gov-west-1)

Fonctionnement des modèles de création de référentiels

Amazon ECR doit parfois créer un nouveau dépôt privé en votre nom. Par exemple :

  • La première fois que vous utilisez une règle de cache d'extraction pour récupérer le contenu d'un référentiel en amont et le stocker dans votre registre ECR privé Amazon.

  • Lorsque vous souhaitez qu'Amazon réplique un référentiel ECR vers une autre région ou un autre compte.

Lorsqu'aucun modèle de création de dépôt ne correspond à votre règle de cache d'extraction ou à votre référentiel répliqué, Amazon ECR utilise les paramètres par défaut pour le nouveau référentiel. Ces paramètres par défaut incluent la désactivation de l'immuabilité des balises, l'utilisation du chiffrement AES-256 et l'absence d'application de politiques de référentiel ou de cycle de vie.

L'utilisation d'un modèle de création de référentiel vous permet de définir les paramètres qu'Amazon ECR applique aux nouveaux référentiels créés via le cache d'extraction et les actions de réplication. Vous pouvez définir l'immuabilité des balises, la configuration du chiffrement, les autorisations des référentiels, la politique de cycle de vie et les balises de ressource pour les nouveaux référentiels.

Le schéma suivant montre le flux de travail ECR utilisé par Amazon lorsqu'un modèle de création de référentiel est utilisé avec une action de cache « pull through ».

Affichage de la manière dont les modèles de création de référentiels sont appliqués aux nouveaux référentiels.

Vous trouverez ci-dessous une description détaillée de chaque paramètre d'un modèle de création de référentiel.

Préfixe

Le préfixe est le préfixe de l'espace de noms du référentiel à associer au modèle. Les paramètres définis dans ce modèle seront appliqués à tous les référentiels créés à l'aide de ce préfixe. Par exemple, le préfixe de prod s'appliquerait à tous les référentiels commençant par prod/. De la même façon, le préfixe de prod/team s'appliquerait à tous les référentiels commençant par prod/team/. Dans un registre contenant deux modèles, si l'un des modèles porte le préfixe « prod » et l'autre le préfixe « prod/team », le modèle avec le préfixe « prod/team » sera appliqué à tous les référentiels dont le nom commence par « prod/team/ ».

Pour appliquer un modèle à tous les référentiels de votre registre auxquels aucun modèle de création n'est associé, vous pouvez utiliser ROOT comme préfixe.

Important

Il y a toujours un / supposé/appliqué à la fin du préfixe. Si vous le spécifiez ecr-public comme préfixe, Amazon le ECR traite commeecr-public/. Lorsque vous utilisez une règle de mise en cache par extraction, le préfixe de référentiel que vous spécifiez lors de la création de la règle est également celui que vous devez spécifier comme préfixe de modèle de création de référentiel.

Description

Cette description du modèle est facultative et est utilisée pour décrire l'objectif du modèle de création de référentiel.

Appliqué pour

Le paramètre appliqué détermine les référentiels ECR créés qui seront créés avec ce modèle. Les valeurs valides sont PULL_THROUGH_CACHE et REPLICATION. Par exemple, la première fois que vous utilisez une règle de cache d'extraction pour récupérer le contenu d'un référentiel en amont et le stocker dans votre registre ECR privé Amazon. Lorsqu'aucun modèle de création de dépôt ne correspond à votre règle de cache d'extraction, Amazon ECR utilise les paramètres par défaut pour le nouveau référentiel.

Rôle de création de référentiel

Le rôle de création de référentiels est un IAM rôle ARN qui sera assumé par Amazon ECR lors de la création et de la configuration de référentiels via des modèles de création de référentiels. Ce rôle doit être fourni lors de l'utilisation des balises du référentiel et/ou KMS dans le modèle, sinon la création du référentiel échouera.

Mutabilité d'une étiquette d'image

Le paramètre de mutabilité des balises à utiliser pour les référentiels créés à l'aide du modèle. Si ce paramètre est omis, le paramètre par défaut de MUTABLEsera utilisé, ce qui permettra de remplacer les balises d'image. Il est recommandé d'utiliser ce paramètre pour les modèles utilisés pour les référentiels créés par des actions de mise en cache par extraction. Cela permet à Amazon de ECR mettre à jour les images mises en cache lorsque les balises sont identiques.

Si IMMUTABLEcette option est spécifiée, toutes les balises d'image du référentiel seront immuables, ce qui empêchera leur remplacement.

Configuration de chiffrement
Important

Chiffrement double couche côté serveur avec ( AWS KMS DSSE-KMS) n'est disponible que dans les AWS GovCloud (US) régions.

La Configuration de chiffrement à utiliser pour les référentiels créés à l'aide du modèle.

Si vous utilisez le type de KMScryptage, le contenu du référentiel sera chiffré à l'aide du chiffrement côté serveur avec une AWS Key Management Service clé stockée dans. AWS KMS Lorsque vous chiffrez vos données, vous pouvez soit utiliser la AWS KMS clé AWS gérée par défaut pour AmazonECR, soit spécifier votre propre AWS KMS clé, que vous avez déjà créée. AWS KMS Vous pouvez également choisir d'utiliser le chiffrement monocouche ou double couche avec. AWS KMS Pour plus d'informations, consultez Chiffrement au repos. Si vous utilisez le type de KMSchiffrement et que vous l'utilisez pour la réplication entre régions, vous aurez peut-être besoin d'autorisations supplémentaires. Pour plus d'informations, consultez la section Création d'une politique KMS clé pour la réplication.

Si vous utilisez le type de AES256chiffrement, Amazon ECR utilise le chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 qui cryptent les images du référentiel à l'aide d'un algorithme de chiffrement -256. AES Pour plus d'informations, consultez la section Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Autorisations du référentiel

La Politique de référentiel à appliquer aux référentiels créés à l'aide du modèle. Une politique de référentiel utilise les autorisations basées sur les ressources pour contrôler l'accès à un référentiel. Les autorisations basées sur les ressources vous permettent de spécifier quels IAM utilisateurs ou rôles ont accès à un référentiel et quelles actions ils peuvent effectuer sur celui-ci. Par défaut, seul le AWS compte qui a créé le référentiel a accès à un référentiel. Vous pouvez appliquer un document de politique pour accorder ou refuser des autorisations supplémentaires à votre référentiel. Pour de plus amples informations, veuillez consulter Politiques relatives aux référentiels privés dans Amazon ECR.

Politique de cycle de vie de référentiel

La politique de cycle de vie à utiliser pour les référentiels créés à l'aide du modèle. Une politique de cycle de vie vous permette de contrôler la gestion du cycle de vie des images d'un référentiel privé. Une politique de cycle de vie contient une ou plusieurs règles, chaque règle définissant une action pour AmazonECR. Cela fournit un moyen d'automatiser le nettoyage des images de conteneur en faisant expirer des images selon l'ancienneté ou le décompte. Pour de plus amples informations, veuillez consulter Automatisez le nettoyage des images en utilisant les politiques de cycle de vie d'Amazon ECR.

Balises de ressources

Les balises de ressource sont des métadonnées à appliquer au référentiel afin de mieux les classer et les organiser. Chaque balise est constituée d’une clé et d’une valeur facultative que vous définissez. Cette autorisation doit être appliquée à la politique de registre de destination si vous utilisez des modèles de création de référentiels avec réplication entre régions.