Authentification avec des référentiels d'images - AWS Elastic Beanstalk
Référentiel Amazon ECRMagasin de paramètres SSM ou AWS Secrets ManagerFichier Dockerrun.aws.jsonImages publiques d'Amazon ECR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification avec des référentiels d'images

Cette rubrique explique comment s'authentifier auprès de référentiels d'images en ligne avec Elastic Beanstalk. Pour les référentiels privés, Elastic Beanstalk doit s'authentifier avant de pouvoir extraire et déployer vos images. Pour Amazon ECR Public, l'authentification est facultative mais fournit des limites de débit plus élevées et une fiabilité améliorée.

Utilisation d'images à partir d'un référentiel Amazon ECR

Vous pouvez stocker vos images Docker personnalisées dans AWS Amazon Elastic Container Registry (Amazon ECR).

Lorsque vous stockez vos images Docker dans Amazon ECR, Elastic Beanstalk s'authentifie automatiquement auprès du registre Amazon ECR avec le profil d'instance de votre environnement. Par conséquent, vous devez autoriser vos instances à accéder aux images de votre référentiel Amazon ECR. Pour ce faire, ajoutez des autorisations au profil d'instance de votre environnement en attachant la politique EC2 ContainerRegistryReadOnly gérée par Amazon au profil d'instance. Cela fournit un accès en lecture seule à tous les référentiels Amazon ECR de votre compte. Vous avez également la possibilité de n'accéder qu'à un seul référentiel en utilisant le modèle suivant pour créer une politique personnalisée :

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEbAuth",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowPull",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ecr:us-east-2:111122223333:repository/repository-name"
            ],
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:BatchGetImage"
            ]
        }
    ]
}

Remplacez le nom Amazon Resource Name (ARN) dans la stratégie ci-dessus par l'ARN de votre référentiel.

Vous devez spécifier les informations relatives à l'image dans votre Dockerrun.aws.json fichier. La configuration sera différente selon la plateforme que vous utilisez.

Pour la plateforme Docker gérée par ECS, utilisez la image clé dans un objet de définition de conteneur :

"containerDefinitions": [
        {
        "name": "my-image",
        "image": "account-id.dkr.ecr.us-east-2.amazonaws.com/repository-name:latest",

Pour la plateforme Docker, reportez-vous à l'image par URL. L'URL figure dans la Image définition de votre Dockerrun.aws.json fichier :

  "Image": {
      "Name": "account-id.dkr.ecr.us-east-2.amazonaws.com/repository-name:latest",
      "Update": "true"
    },

En utilisant le magasin de paramètres AWS Systems Manager (SSM) ou AWS Secrets Manager

Configurez Elastic Beanstalk pour qu'il s'authentifie auprès de votre référentiel privé avant le déploiement afin de permettre l'accès aux images de vos conteneurs.

Cette approche utilise la phase de préconstruction du processus de déploiement d'Elastic Beanstalk avec deux composants :

Les scripts hook récupèrent en toute sécurité les informations d'identification des variables d'environnement renseignées à partir de AWS Systems Manager Parameter Store ou AWS Secrets Manager. Cette fonctionnalité nécessite les plateformes Docker Elastic Beanstalk et Docker gérées par ECS publiées le 26 mars 2025 ou après cette date. Pour plus de détails, consultez la section Configuration des variables d'environnement.

Pour configurer Elastic Beanstalk afin de s'authentifier auprès de votre référentiel privé avec Parameter Store ou AWS Systems ManagerAWS Secrets Manager
Note

Avant de continuer, assurez-vous d'avoir configuré vos informations d'identification dans AWS Systems Manager Parameter Store ou AWS Secrets Manager de configurer les autorisations IAM nécessaires. Pour plus de détails, reportez-vous à la section Conditions requises pour configurer les secrets en tant que variables d'environnement.

  1. Créez la structure de répertoire suivante pour votre projet :

    
├── .ebextensions
│   └── env.config
├── .platform
│   ├── confighooks
│   │   └── prebuild
│   │       └── 01login.sh
│   └── hooks
│       └── prebuild
│           └── 01login.sh
├── Dockerfile

  2. Utilisez AWS Systems ManagerParameter Store ou AWS Secrets Managerpour enregistrer les informations d'identification de votre référentiel privé. Cet exemple montre à la fois AWS Systems Manager Parameter Store AWS Secrets Manager , mais vous pouvez choisir d'utiliser un seul de ces services.

    aws ssm put-parameter --name USER --type SecureString --value "username"
aws secretsmanager create-secret --name PASSWD --secret-string "passwd"

  3. Créez le fichier env.config suivant et placez-le dans le répertoire .ebextensions comme indiqué dans la structure de répertoire précédente. Cette configuration utilise l'espace de patte : tige de haricot élastique : application : secrets environnementaux noms pour initialiser les variables d'environnement USER et PASSWD Elastic Beanstalk aux valeurs stockées dans le magasin de paramètres Systems Manager.

    Note

    Vérifiez que les noms USER des variables PASSWD correspondent aux noms des paramètres utilisés dans les commandes put-parameter et create-secret.

    option_settings:
  aws:elasticbeanstalk:application:environmentsecrets:
    USER: arn:aws:ssm:us-east-1:111122223333:parameter/user
    PASSWD: arn:aws:secretsmanager:us-east-1:111122223333:passwd

  4. Créez le fichier de script 01login.sh suivant et placez-le dans les répertoires suivants (comme illustré également dans la structure de répertoires précédente) :

    • .platform/confighooks/prebuild

    • .platform/hooks/prebuild

    ### example 01login.sh
#!/bin/bash
echo $PASSWD | docker login -u $USER --password-stdin

    Le 01login.sh script utilise les variables d'environnement configurées à l'étape 3 et transmet le mot de passe en toute sécurité à docker login viastdin. Pour plus d'informations sur l'authentification Docker, consultez la section Docker login dans la documentation Docker.

    Remarques

    • Les fichiers hook peuvent être des fichiers binaires ou des fichiers script commençant par une ligne #! et contenant leur chemin d'interpréteur, par exemple #!/bin/bash.

    • Pour de plus amples informations, veuillez consulter Hooks de plateforme dans Extension des plateformes Linux Elastic Beanstalk.

Une fois l'authentification configurée, Elastic Beanstalk peut extraire et déployer des images depuis votre référentiel privé.

Utilisation du fichier Dockerrun.aws.json

Cette section décrit une autre approche pour authentifier Elastic Beanstalk auprès d'un référentiel privé. Avec cette approche, vous générez un fichier d'authentification avec la commande Docker, puis téléchargez le fichier d'authentification dans un compartiment Amazon S3. Vous devez également inclure les informations du compartiment dans votre fichier Dockerrun.aws.json.

Pour générer un fichier d'authentification et le fournir à Elastic Beanstalk

  1. Générez un fichier d'authentification avec la commande docker login. Pour les référentiels sur Docker Hub, exécutez docker login:

    $ docker login

    Pour d'autres registres, incluez l'URL du serveur de registre :

    $ docker login registry-server-url
    Note

    Si votre environnement Elastic Beanstalk utilise la version de plateforme Docker AMI Amazon Linux (antérieure à Amazon Linux 2), lisez les informations dans Configuration Docker sur l'AMI Amazon Linux (antérieure à Amazon Linux 2).

    Pour plus d'informations sur le fichier d'authentification, consultez Store images on Docker Hub et docker login sur le site web de Docker.

  2. Chargez une copie du fichier d'authentification nommé .dockercfg dans un compartiment Amazon S3 sécurisé.

    • Le compartiment Amazon S3 doit être hébergé dans le même Région AWS environnement que celui qui l'utilise. Elastic Beanstalk ne peut pas télécharger de fichiers à partir d'un compartiment Amazon S3 hébergé dans d'autres régions.

    • Accordez des autorisations pour l'opération s3:GetObject au rôle IAM dans le profil d'instance. Pour plus d'informations, consultez Gestion des profils d'instance Elastic Beanstalk.

  3. Incluez les informations sur le compartiment Amazon S3 dans le paramètre Authentication de votre fichier Dockerrun.aws.json.

    L'exemple suivant décrit comment utiliser un fichier d'authentification nommé mydockercfg dans un compartiment nommé amzn-s3-demo-bucket afin d'utiliser une image privée dans un registre tiers. Pour le numéro de version correct pourAWSEBDockerrunVersion, reportez-vous à la note qui suit l'exemple.

    {
  "AWSEBDockerrunVersion": "version-no",
  "Authentication": {
    "Bucket": "amzn-s3-demo-bucket",
    "Key": "mydockercfg"
  },
  "Image": {
    "Name": "quay.io/johndoe/private-image",
    "Update": "true"
  },
  "Ports": [
    {
      "ContainerPort": "1234"
    }
  ],
  "Volumes": [
    {
      "HostDirectory": "/var/app/mydb",
      "ContainerDirectory": "/etc/mysql"
    }
  ],
  "Logging": "/var/log/nginx"
}
    Versions Dockerrun.aws.json

    Le paramètre AWSEBDockerrunVersion indique la version du fichier Dockerrun.aws.json.

    • Les plateformes Docker AL2 et AL2 023 utilisent les versions suivantes du fichier.

      • Dockerrun.aws.json v3— environnements utilisant Docker Compose.

      • Dockerrun.aws.json v1— environnements qui n'utilisent pas Docker Compose.

    • ECS exécuté sur Amazon Linux 2 et ECS exécuté sur AL2 023 utilisent le Dockerrun.aws.json v2 fichier. La plate-forme retirée ECS, l'AMI Multicontainer Docker Amazon Linux (AL1), utilisait également cette même version.

Une fois qu'Elastic Beanstalk peut s'authentifier auprès du registre en ligne qui héberge le référentiel privé, vos images peuvent être déployées et extraites.

Utilisation d'images provenant d'Amazon ECR Public

Amazon ECR Public est un registre de conteneurs public qui héberge des images Docker. Bien que les référentiels publics Amazon ECR soient accessibles au public, l'authentification fournit des limites de débit plus élevées et une meilleure fiabilité pour vos déploiements.

Note

L'authentification publique Amazon ECR n'est pas prise en charge dans les régions (cn-*) et les AWS GovCloud régions (us-gov-*) de Chine. Dans ces régions, Elastic Beanstalk utilisera des extractions non authentifiées.

Pour activer l'authentification Amazon ECR Public, ajoutez les autorisations suivantes au profil d'instance de votre environnement. Pour plus d'informations sur l'authentification Amazon ECR Public, consultez Authentification du registre dans Amazon ECR public dans le Guide de l'utilisateur public d'Amazon Elastic Container Registry :

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
       {
          "Effect": "Allow",
          "Action": [
             "ecr-public:GetAuthorizationToken",
             "sts:GetServiceBearerToken"
          ],
          "Resource": "*"
       }
    ]
}

Une fois ces autorisations associées à votre profil d'instance, Elastic Beanstalk s'authentifie automatiquement auprès des registres publics Amazon ECR. Vous pouvez référencer des images Amazon ECR Public en utilisant le public.ecr.aws/registry-alias/repository-name:tag format standard de votre Dockerrun.aws.json fichier ou Dockerfile.