プルスルーキャッシュアクション中に作成されたリポジトリを制御するテンプレート - Amazon ECR
仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プルスルーキャッシュアクション中に作成されたリポジトリを制御するテンプレート

リポジトリ作成テンプレートの機能は Amazon ECR のプレビュー版に含まれているもので、変更される可能性があります。このパブリックプレビューでは、リポジトリ作成テンプレートの管理に使用できるの AWS Management Console は のみです。

Amazon ECR リポジトリ作成テンプレートを使用して、プルスルーキャッシュアクション中にユーザーに代わって Amazon ECR によって作成されたリポジトリの設定を定義します。リポジトリ作成テンプレートの設定はリポジトリの作成時にのみ適用され、既存のリポジトリや他の方法で作成されたリポジトリには影響しません。

リポジトリ作成テンプレートは、次のリージョンではサポートされていません。

  • 中国 (北京) (cn-north-1)

  • 中国 (寧夏) (cn-northwest-1)

  • AWS GovCloud (米国東部) (us-gov-east-1

  • AWS GovCloud (米国西部) (us-gov-west-1

リポジトリ作成テンプレートの仕組み

Amazon ECR がユーザーに代わって新しいプライベートリポジトリを作成する必要がある場合があります。例えば、プルスルーキャッシュルールを初めて使用して、アップストリームリポジトリのコンテンツを取得し、Amazon ECR プライベートレジストリに保存します。プルスルーキャッシュルールに一致するリポジトリ作成テンプレートがない場合、Amazon ECR は新しいリポジトリのデフォルト設定を使用します。これらのデフォルト設定には、タグの不変性をオフにする、AES-256 暗号化を使用する、リポジトリやライフサイクルポリシーを一切適用しないなどが含まれます。

プルスルーキャッシュルールに一致するプレフィックスを付けたリポジトリ作成テンプレートを使用すると、プルスルーキャッシュアクションによって作成された新しいリポジトリに Amazon ECR が適用する設定を定義できます。新しいリポジトリのタグ不変性、暗号化設定、リポジトリ権限、ライフサイクルポリシー、リソースタグを定義できます。

次の図は、リポジトリ作成テンプレートを使用するときに Amazon ECR が使用するワークフローを示しています。

リポジトリ作成テンプレートを新しいリポジトリに適用する方法を示しています。

以下では、リポジトリ作成テンプレートの各パラメータについて詳しく説明します。

プレフィックス

[プレフィックス] は、テンプレートに関連付けるリポジトリ名前空間のプレフィックスです。このプレフィックスを使用して作成されたすべてのリポジトリには、このテンプレートで定義されている設定が適用されます。例えば、prod というプレフィックスは、prod/ で始まるすべてのリポジトリに適用されます。同様に、prod/team というプレフィックスは、prod/team/ で始まるすべてのリポジトリに適用されます。

作成テンプレートが関連付けられていないレジストリ内のすべてのリポジトリにテンプレートを適用するには、プレフィックスとして ROOT を使用できます。

重要

プレフィックスの末尾には常に / が適用されると想定されます。ecr-public をプレフィックスとして指定すると、Amazon ECR はそれを ecr-public/ として扱います。プルスルーキャッシュルールを使用する場合、ルール作成時に指定するリポジトリプレフィックスは、リポジトリ作成テンプレートのプレフィックスとしても指定する必要があります。

説明

このテンプレートの説明は省略可能で、リポジトリ作成テンプレートの目的を説明するために使用されます。

[テンプレートのバージョン]

使用するリポジトリ作成テンプレートのバージョンです。現在サポートされているテンプレートのバージョンは TV1 のみです。

設定バージョン

使用するテンプレートのリポジトリ設定バージョンです。各テンプレートにはリポジトリ設定が含まれている必要があります。デフォルトの設定バージョンは CV1 で、イメージタグの変更可能性、リポジトリポリシー、およびライフサイクルポリシー設定で構成されます。

イメージタグの変更可能性

テンプレートを使用して作成されたリポジトリに使用するタグの変更可能性設定です。このパラメータを省略すると、MUTABLE のデフォルト設定が使用されます。デフォルト設定では、イメージタグの上書きが許可されます。これは、プルスルーキャッシュアクションによって作成されたリポジトリに使用されるテンプレートに使用することを推奨する設定です。これにより、タグが同じ場合でも Amazon ECR はキャッシュされたイメージを更新できます。

IMMUTABLE を指定すると、リポジトリ内のすべてのイメージタグは不変となり、上書きが禁止されます。

暗号化設定

テンプレートを使用して作成されたリポジトリに使用する暗号化設定です。

KMS 暗号化タイプを使用する場合、リポジトリのコンテンツは、 AWS KMSに保存されている AWS Key Management Service キーにより、サーバー側の暗号化を使用して暗号化されます。 AWS KMS を使用してデータを暗号化する場合、Amazon ECR のデフォルトの AWS マネージド AWS KMS キーを使用するか、既に作成した独自の AWS KMS キーを指定できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の AWS Key Management Service 「 (SSE-KMS) に保存されている AWS Key Management Service キーによるサーバー側の暗号化を使用したデータの保護」を参照してください。

AES256 の暗号化タイプを使用する場合、Amazon ECR は Amazon S3 で管理された暗号化キーによりサーバー側の暗号化キーを使用して、AES-256 暗号化アルゴリズムを使用するリポジトリ内のイメージを暗号化します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)」を参照してください。

リポジトリ権限

テンプレートを使用して作成されたリポジトリに適用するリポジトリポリシーです。リポジトリポリシーは、リソースベースのアクセス権限を使用してリポジトリへのアクセスを制御します。リソースベースのアクセス権限により、どの IAM ユーザーあるいはロールがリポジトリにアクセスでき、どのようなアクションを実行できるかを指定できます。デフォルトでは、リポジトリを作成した AWS アカウントのみがリポジトリにアクセスできます。リポジトリへの追加のアクセス許可を付与または拒否するポリシードキュメントを適用できます。詳細については、「Amazon ECR のプライベートリポジトリポリシー」を参照してください。

リポジトリライフサイクルポリシー

テンプレートを使用して作成されたリポジトリに使用するライフサイクルポリシーです。ライフサイクルポリシーを使用すると、プライベートリポジトリ内のイメージのライフサイクル管理をより詳細に制御できます。ライフサイクルポリシーは 1 つまたは複数のルールで、各ルールでは Amazon ECR へのアクションが定義されています。時間やカウント数に基づいてイメージの有効期限を設定することによってコンテナイメージを自動的にクリーンアップできます。詳細については、「Amazon ECR のライフサイクルポリシーを使用してイメージのクリーンアップを自動化する」を参照してください。

リソースタグ

リソースタグは、リポジトリに適用し、分類と整理に役立つメタデータです。タグはそれぞれ、1 つのキーとオプションの 1 つの値で設定されており、どちらもお客様側が定義します。