Ruolo ECR collegato ai servizi Amazon per il pull through cache - Amazon ECR
Autorizzazioni di ruolo collegate ai servizi per Amazon ECRCreazione di un ruolo collegato ai servizi per Amazon ECRModifica di un ruolo collegato ai servizi per Amazon ECREliminazione del ruolo collegato al servizio per Amazon ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo ECR collegato ai servizi Amazon per il pull through cache

Amazon ECR utilizza un ruolo collegato ai servizi denominato AWSServiceRoleForECRPullThroughCacheche autorizza Amazon ECR a eseguire azioni per tuo conto per completare le azioni pull through cache. Per ulteriori informazioni sulla cache pull-through, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

Autorizzazioni di ruolo collegate ai servizi per Amazon ECR

Il ruolo AWSServiceRoleForECRPullThroughCachecollegato al servizio si fida che il seguente servizio assuma il ruolo.

  • pullthroughcache.ecr.amazonaws.com

Dettagli dell'autorizzazione

La policy delle autorizzazioni AWSECRPullThroughCache_ServiceRolePolicy è attribuita al ruolo collegato ai servizi. Questa politica gestita concede ad Amazon ECR l'autorizzazione a eseguire le seguenti azioni. Per ulteriori informazioni, consulta AWSECRPullThroughCache_ServiceRolePolicy.

  • ecr— Consente al ECR servizio Amazon di inviare immagini a un archivio privato.

  • secretsmanager:GetSecretValue— Consente al ECR servizio Amazon di recuperare i contenuti crittografati di un AWS Secrets Manager segreto. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione nel tuo registro privato. Questa autorizzazione è valida solo per i segreti con il prefisso di nome ecr-pullthroughcache/.

La AWSECRPullThroughCache_ServiceRolePolicy politica contiene quanto segueJSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

È necessario configurare le autorizzazioni per consentire a un'IAMentità (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato ai servizi per Amazon ECR

Non è necessario creare manualmente il ruolo Amazon ECR service-linked per il pull through cache. Quando crei una regola pull through cache per il tuo registro privato nel AWS Management Console, o nel AWS CLI AWS API, Amazon ECR crea il ruolo collegato al servizio per te.

Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei una regola pull through cache per il tuo registro privato, Amazon ECR crea nuovamente il ruolo collegato al servizio per te, se non esiste già.

Modifica di un ruolo collegato ai servizi per Amazon ECR

Amazon ECR non consente la modifica manuale del ruolo AWSServiceRoleForECRPullThroughCachecollegato al servizio. Dopo aver creato un ruolo collegato ai servizi, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.

Eliminazione del ruolo collegato al servizio per Amazon ECR

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, prima di poter eliminare manualmente il ruolo collegato ai servizi, è necessario eliminare le regole della cache pull-through per il registro in ogni regione.

Nota

Se tenti di eliminare risorse mentre il ECR servizio Amazon utilizza ancora il ruolo, l'operazione di eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.

Per eliminare ECR le risorse Amazon utilizzate dal ruolo collegato al AWSServiceRoleForECRPullThroughCacheservizio

  1. Apri la ECR console Amazon all'indirizzo https://console.aws.amazon.com/ecr/.

  2. Nella barra di navigazione, seleziona la regione in cui vengono create le regole della cache pull-through.

  3. Nel pannello di navigazione, seleziona Private registry (Registro privato).

  4. Nella pagina Private registry (Registro privato), nella sezione Pull through cache configuration (Configurazione di cache pull through) scegli Edit (Modifica).

  5. Per ogni regola di cache pull through che hai creato, seleziona la regola e quindi scegli Delete rule (Elimina regola).

Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM

Usa la IAM console AWS CLI, o il AWS API per eliminare il ruolo collegato al AWSServiceRoleForECRPullThroughCacheservizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM