IAMautorizzazioni necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR

Oltre alle ECR API autorizzazioni Amazon necessarie per l'autenticazione in un registro privato e per inviare e caricare immagini, sono necessarie le seguenti autorizzazioni aggiuntive per utilizzare efficacemente le regole pull through cache.

• ecr:CreatePullThroughCacheRule – Concede l'autorizzazione per creare una nuova regola di cache pull-through. Questa autorizzazione deve essere concessa tramite una politica basata sull'identità. IAM

• ecr:BatchImportUpstreamImage— Concede l'autorizzazione per recuperare l'immagine esterna e importarla nel registro privato. Questa autorizzazione può essere concessa utilizzando la politica di autorizzazione del registro privato, una politica basata sull'identità o utilizzando la IAM politica di autorizzazione degli archivi basata sulle risorse. Per ulteriori informazioni sull'uso delle autorizzazioni del repository, consulta Politiche di repository privato in Amazon ECR.

• ecr:CreateRepository – Concede l'autorizzazione per creare un repository in un registro privato. Questa autorizzazione è necessaria se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Questa autorizzazione può essere concessa mediante una politica basata sull'identità o una politica di autorizzazione del registro privato. IAM

Utilizzo delle autorizzazioni di registro

Le autorizzazioni del registro ECR privato di Amazon possono essere utilizzate per definire le autorizzazioni di singole IAM entità all'uso della cache pull through. Se un'IAMentità dispone di più autorizzazioni concesse da una IAM politica rispetto a quelle concesse dalla politica di autorizzazione del registro, la politica ha la precedenza. IAM Ad esempio, se a un utente sono state concesse autorizzazioni ecr:*, non occorrono altre autorizzazioni a livello di registro.

Per creare una policy delle autorizzazioni del registro privato (AWS Management Console)

1. Apri la ECR console Amazon all'indirizzo https://console.aws.amazon.com/ecr/.

2. Dalla barra di navigazione, scegli la regione in cui configurare l'istruzione delle autorizzazioni del registro privato.

3. Nel pannello di navigazione, seleziona Private registry (Registro privato), Registry permissions (Autorizzazioni di registro).

4. Alla pagina Registry permissions (Autorizzazioni di registro), scegli Generate statement (Genera istruzione).

5. Per ogni istruzione delle policy di autorizzazione della cache pull-through che si desidera creare, procedi come segue.

   1. Per Policy type (Tipo di policy), scegli Pull through cache policy (Policy della cache pull-through).

   2. Per Statement id (ID istruzione), inserisci un nome per la policy dell'istruzione della cache pull-through.

   3. Per IAMle entità, specifica gli utenti, i gruppi o i ruoli da includere nella policy.

   4. Per Repository namespace (Spazio dei nomi del repository), seleziona la regola della cache pull-through a cui associare la policy.

   5. Per Repository names (Nomi dei repository), specifica il nome di base del repository per cui applicare la regola. Ad esempio, se desideri specificare il repository Amazon Linux su Amazon ECR Public, il nome del repository sarà. amazonlinux

Per creare una policy delle autorizzazioni del registro privato (AWS CLI)

Usa il AWS CLI comando seguente per specificare le autorizzazioni del registro privato utilizzando. AWS CLI

1. Crea un file locale denominato ptc-registry-policy.json con il contenuto della policy del registro. L'esempio seguente concede l'ecr-pull-through-cache-userautorizzazione a creare un repository ed estrarre un'immagine da Amazon ECR Public, che è la fonte upstream associata alla regola pull through cache creata in precedenza.

   {
     "Sid": "PullThroughCacheFromReadOnlyRole",
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
     },
     "Action": [
       "ecr:CreateRepository",
       "ecr:BatchImportUpstreamImage"
     ],
     "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
   }

   Importante

   L'autorizzazione ecr-CreateRepository è necessaria solo se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Ad esempio, se l'azione di creazione del repository e le azioni di estrazione dell'immagine vengono eseguite da IAM responsabili separati come un amministratore e uno sviluppatore.

2. Utilizzate il put-registry-policycomando per impostare la politica del registro.

   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json

Passaggi successivi

Quando sei pronto a cominciare a utilizzare le regole di cache pull-through, attieniti ai passaggi seguenti.

• Crea una regola di cache pull-through. Per ulteriori informazioni, consulta Creazione di una regola pull through cache in Amazon ECR.

• Crea un modello di creazione repository. Un modello di creazione di repository ti consente di definire le impostazioni da utilizzare per i nuovi repository creati da Amazon per tuo ECR conto durante un'azione pull through cache. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.