IAMizin yang diperlukan untuk menyinkronkan registri hulu dengan registri pribadi Amazon ECR - Amazon ECR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMizin yang diperlukan untuk menyinkronkan registri hulu dengan registri pribadi Amazon ECR

Selain ECR API izin Amazon yang diperlukan untuk mengautentikasi ke registri pribadi dan untuk mendorong dan menarik gambar, izin tambahan berikut diperlukan untuk menggunakan aturan pull through cache secara efektif.

  • ecr:CreatePullThroughCacheRule— Memberikan izin untuk membuat aturan cache pull through. Izin ini harus diberikan melalui kebijakan berbasis identitasIAM.

  • ecr:BatchImportUpstreamImage— Memberikan izin untuk mengambil gambar eksternal dan mengimpornya ke registri pribadi Anda. Izin ini dapat diberikan dengan menggunakan kebijakan izin registri pribadi, kebijakan berbasis identitas, atau dengan menggunakan IAM kebijakan izin repositori berbasis sumber daya. Untuk informasi selengkapnya tentang menggunakan izin repositori, lihat. Kebijakan repositori pribadi di Amazon ECR

  • ecr:CreateRepository— Memberikan izin untuk membuat repositori di registri pribadi. Izin ini diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Izin ini dapat diberikan oleh IAM kebijakan berbasis identitas atau kebijakan izin registri pribadi.

Menggunakan izin registri

Izin registri ECR pribadi Amazon dapat digunakan untuk mencakup izin IAM entitas individu untuk menggunakan cache tarik melalui. Jika IAM entitas memiliki lebih banyak izin yang diberikan oleh IAM kebijakan daripada yang diberikan oleh kebijakan izin registri, kebijakan akan diutamakanIAM. Misalnya, jika pengguna memiliki ecr:* izin yang diberikan, tidak ada izin tambahan yang diperlukan di tingkat registri.

  1. Buka ECR konsol Amazon di https://console.aws.amazon.com/ecr/.

  2. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi pernyataan izin registri pribadi Anda.

  3. Di panel navigasi, pilih Registri pribadi, Izin registri.

  4. Pada halaman Izin registri, pilih Hasilkan pernyataan.

  5. Untuk setiap pull through pernyataan kebijakan izin cache yang ingin Anda buat, lakukan hal berikut.

    1. Untuk jenis Policy, pilih Pull through cache policy.

    2. Untuk id Pernyataan, berikan nama untuk kebijakan pernyataan cache tarik melalui.

    3. Untuk IAMentitas, tentukan pengguna, grup, atau peran yang akan disertakan dalam kebijakan.

    4. Untuk namespace Repositori, pilih aturan pull through cache untuk mengaitkan kebijakan dengan.

    5. Untuk nama Repositori, tentukan nama dasar repositori untuk menerapkan aturan. Misalnya, jika Anda ingin menentukan repositori Amazon Linux di Amazon ECR Public, nama repositori akan menjadi. amazonlinux

Gunakan AWS CLI perintah berikut untuk menentukan izin registri pribadi menggunakan. AWS CLI

  1. Buat file lokal bernama ptc-registry-policy.json dengan isi kebijakan registri Anda. Contoh berikut memberikan ecr-pull-through-cache-user izin untuk membuat repositori dan menarik gambar dari Amazon ECR Public, yang merupakan sumber upstream yang terkait dengan aturan cache pull through yang dibuat sebelumnya.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "PullThroughCacheFromReadOnlyRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user" }, "Action": [ "ecr:CreateRepository", "ecr:BatchImportUpstreamImage" ], "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*" } ] }
    penting

    ecr-CreateRepositoryIzin hanya diperlukan jika repositori yang menyimpan gambar yang di-cache belum ada. Misalnya, jika tindakan pembuatan repositori dan tindakan tarik gambar sedang dilakukan oleh IAM prinsipal terpisah seperti administrator dan pengembang.

  2. Gunakan put-registry-policyperintah untuk mengatur kebijakan registri.

    aws ecr put-registry-policy \ --policy-text file://ptc-registry.policy.json

Langkah selanjutnya

Setelah Anda siap untuk mulai menggunakan aturan pull through cache, berikut ini adalah langkah selanjutnya.