Amazon ECR エラーメッセージのトラブルシューティング

Amazon ECS コンソールまたは AWS CLI を通じてトリガーされた API コールがエラーメッセージで終了することがあります。一般的なエラーメッセージと考えられる解決策を以下に説明します。

HTTP 429: リクエストが多すぎる、または ThrottleException

1 つ以上の Amazon ECR コマンドまたは API コールから、429: Too Many Requests エラーまたは ThrottleException エラーを受け取ることがあります。Amazon ECR で Docker ツールを使用している場合、Docker バージョン 1.12.0 以降では、エラーメッセージ TOOMANYREQUESTS: Rate exceeded が表示されることがあります。Docker バージョン 1.12.0 以前では、エラー Unknown: Rate exceeded が表示されることがあります。

これは、短い間隔で Amazon ECR の単一のエンドポイントを繰り返し呼び出していて、リクエストがスロットリングされていることを示します。スロットリングは、1 人のユーザーから単一のエンドポイントへの呼び出しが、期間中に特定のしきい値を超えたときに発生します。

Amazon ECR のさまざまな API オペレーションでは、それぞれ異なるスロットリングが行われます。

たとえば、GetAuthorizationToken アクションのスロットリングは 20 TPS (トランザクション/秒) で、最大 200 TPS のバーストが可能です。各リージョンで、各アカウントには、最大 200 GetAuthorizationToken クレジットを保存できるバケットが割り当てられ、1 秒あたり 20 クレジットの割合で補充されます。バケットに 200 クレジットがある場合、1 秒あたり 200 GetAuthorizationToken API トランザクションに達すると、1 秒あたり 20 トランザクションが無期限に維持されます。

スロットリングエラーを処理するには、増分バックオフをコードに含めて再試行関数を実装します。詳細については、アマゾン ウェブ サービス全般のリファレンスの AWS でのエラーの再試行とエクスポネンシャルバックオフを参照してください。

HTTP 403: "ユーザー [arn] は [operation] の実行を許可されていません"

Amazon ECR を使用してアクションを実行しようとすると、次のエラーを受け取ることがあります。

$ aws ecr get-login-password 
A client error (AccessDeniedException) occurred when calling the GetAuthorizationToken operation: 
    User: arn:aws:iam::account-number:user/username is not authorized to perform: 
    ecr:GetAuthorizationToken on resource: *

これは、Amazon ECR を使用するアクセス権限がユーザーに付与されていないか、それらのアクセス権限が正しく設定されていないことを示します。特に、Amazon ECR レポジトリに対してアクションを実行している場合は、そのリポジトリにアクセスする権限がユーザーに付与されていることを確認します。Amazon ECR の許可の作成と検証の詳細については、「Amazon Elastic Container Registry の Identity and Access Management」を参照してください。

HTTP 404: "レポジトリは存在しません" エラー

現在存在しない Docker Hub リポジトリを指定すると、Docker Hub はそのレポジトリを自動的に作成します。Amazon ECR では、レポジトリを使用するには、その前に新しいリポジトリを明示的に作成する必要があります。これにより、(タイプミスなどの原因で) 新しいレポジトリが間違って作成されるのを防止し、適切なセキュリティアクセスポリシーが明示的に新しいレポジトリに割り当てられます。レポジトリの作成方法の詳細については、「Amazon ECR プライベートリポジトリ」を参照してください。