Amazon ECR でのサービスにリンクされたロールの使用 - Amazon ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でのサービスにリンクされたロールの使用

Amazon Elastic Container Registry (Amazon ECR)AWS Identity and Access Management(IAM)サービスにリンクされたロールを使用して、複製リソースへのアクセスを提供します。サービスにリンクされたロールは、Amazon ECR に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon ECR で定義済みです。これには、レジストリーのクロスリージョンおよびクロスアカウントイメージのレプリケーションをサポートするためにサービスが必要とするすべてのアクセス許可が含まれます。レジストリのレプリケーションを構成すると、サービスリンクロールがユーザーに代わって自動的に作成されます。詳細については、「プライベートレジストリの設定」を参照してください。

サービスにリンクされたロールを使用すると、Amazon ECR を使用したレプリケーションの設定が簡単になります。これは、使用することで、必要なアクセス許可をすべて手動で追加する必要がなくなるためです。Amazon ECR は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されていない限り、Amazon ECR のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーおよびアクセス許可ポリシーが含まれます。アクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除できるのは、レジストリでレプリケーションを無効にした後のみです。これにより、Amazon ECR によるイメージのレプリケーション許可を誤って削除することがなくなります。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、AWSIAM と連携するのサービス。このリンク先のページで、はい()サービスにリンクされたロール列でロードバランサーの ID をクリックします。[選択]はいサービスにリンクされたロールに関するドキュメントをサービスで表示するには、リンクを使用します。

Amazon ECR のサービスにリンクされたロールのアクセス許可

Amazon ECR では、サービスにリンクされたロールとしてAWSserviceRoleForecrレプリケーション— Amazon ECR が複数のアカウント間で画像を複製できるようにします。

AWSServiceRoleForForecrReplication サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • replication.ecr.amazonaws.com

以下のようになりますECRReplicationServiceRolePolicyロールのアクセス許可ポリシーは、Amazon ECR がリソースに対して以下のアクションを使用することをに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": "*" } ] }
注記

-ReplicateImageは、Amazon ECR がレプリケーションに使用する内部 API で、直接呼び出すことはできません。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon ECR のサービスにリンクされたロールの作成

Amazon ECR サービスにリンクされたロールを手動で作成する必要はありません。レジストリにレプリケーション設定を構成すると、AWS Management Consoleとすると、AWS CLI、またはAWSAPI を使用して、Amazon ECR がサービスにリンクされたロールを作成します。

サービスにリンクされたこのロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。レジストリにレプリケーションを設定すると、サービスにリンクされたロールが再作成されます。

Amazon ECR のサービスにリンクされたロールの編集

Amazon ECR では、AWSServiceRoleForForecrReplication サービスにリンクされたロールを手動で編集することはできません。サービスリンクロールを作成した後は、さまざまなエンティティがロールを参照する可能性があることから、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することは可能です。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Amazon ECR のサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンのレジストリのレプリケーション設定を削除する必要があります。

注記

Amazon ECR サービスが引き続きロールを使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。

AWS ServiceRoleForecrレプリケーションで使用されている Amazon ECR リソースを削除するには

  1. で Amazon ECR コンソールを開きます。https://console.aws.amazon.com/ecr/

  2. ナビゲーションバーから、レプリケーション設定が設定されているリージョンを選択します。

  3. ナビゲーションペインで [] を選択します。レジストリ設定

  4. [オプション]クロスリージョンレプリケーションおよびクロスアカウントレプリケーション[] 設定。

  5. [Save] を選択します。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、AWS CLI、またはAWSAWS ServiceRoleForecrReplication サービスにリンクされたロールを削除するには 詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

Amazon ECR サービスにリンクされたロールでサポートされているリージョン

Amazon ECR は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。