Amazon ECR プライベートリポジトリ

Amazon Elastic Container Registry (Amazon ECR) には、イメージリポジトリの作成、モニタリング、削除を行う API オペレーション、およびリポジトリにアクセスできるユーザーを制御するアクセス権限を設定する API オペレーションが用意されています。同じアクションは、Amazon ECR コンソールの [Repositories] (リポジトリ) セクションで実行できます。また、Amazon ECR は Docker CLI と統合されるため、開発環境からリポジトリにイメージをプッシュおよびプルすることもできます。

トピック

• プライベートリポジトリの概念
• プライベートリポジトリを作成する
• プライベートリポジトリの詳細の表示
• プライベートリポジトリを編集する
• プライベートリポジトリを削除する
• プライベートリポジトリポリシー
• プライベートリポジトリのタグ付け

プライベートリポジトリの概念

• デフォルトでは、アカウントにはデフォルトリポジトリ (aws_account_id.dkr.ecr.region.amazonaws.com) 内のリポジトリへの読み取りおよび書き込みアクセス権があります。ただし、ユーザーには、Amazon ECR API への呼び出しと、リポジトリに対するイメージのプッシュまたはプルを行う許可が必要です。Amazon ECR には、さまざまなレベルでユーザーアクセスを制御するための管理ポリシーが複数用意されています。詳細については、「Amazon Elastic Container Registry のアイデンティティベースのポリシーの例」を参照してください。

• リポジトリは、 ユーザーアクセスポリシーと個々のリポジトリポリシーによって制御できます。詳細については、「プライベートリポジトリポリシー」を参照してください。

• リポジトリ名では、似たリポジトリをグループ化するのに使用できる名前空間をサポートできます。たとえば、同じレジストリを使用するチームが複数ある場合、チーム A が team-a 名前空間を使用し、チーム B が team-b 名前を使用することが可能です。こうすることで、各チームは、web-app という独自のイメージを持つことができます。各イメージの先頭には、チームの名前空間が付けられます。この設定により、各チームは干渉することなくイメージを同時に使用できます。チーム A のイメージは team-a/web-app で、チーム B のイメージは team-b/web-app です。

• イメージは、独自のレジストリ内およびアカウント間でリージョン間で他のリポジトリにレプリケートできます。これを行うには、レジストリ設定でレプリケーション構成を指定します。詳細については、「プライベートレジストリの設定」を参照してください。