As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de imagens do Amazon ECR com o Amazon ECS
Você pode usar seus repositórios privados do Amazon ECR para hospedar imagens e artefatos de contêiner dos quais suas tarefas do Amazon ECS podem ser extraídas. Para que isso funcione, o agente de contêiner do Amazon ECS ou do Fargate deve ter permissões para criar as APIs ecr:BatchGetImage
, ecr:GetDownloadUrlForLayer
e ecr:GetAuthorizationToken
.
Permissões obrigatórias do IAM
A tabela a seguir mostra o perfil do IAM a ser usado, para cada tipo de inicialização, que fornece as permissões necessárias para que suas tarefas sejam extraídas de um repositório privado do Amazon ECR. O Amazon ECS fornece políticas do IAM gerenciadas que incluem as permissões necessárias.
Tipo de inicialização | IAM role (Perfil do IAM) | AWS política de IAM gerenciada |
---|---|---|
Amazon ECS em instâncias do Amazon EC2 |
Use o perfil do IAM de instância de contêiner associado à instância do Amazon EC2 registrada em seu cluster do Amazon ECS. Para obter mais informações, consulte Perfil do IAM de instância de contêiner no Guia do desenvolvedor do Amazon Elastic Container Service. |
Para obter mais informações, consulte AmazonEC2ContainerServiceforEC2Role no Guia do desenvolvedor do Amazon Elastic Container Service |
Amazon ECS no Fargate |
Use o perfil do IAM de execução de tarefas que você referencia em sua definição de tarefa do Amazon ECS. Para obter mais informações, consulte Perfil do IAM para execução de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service. |
Para obter mais informações, consulte AmazonECSTaskExecutionRolePolicy no Guia do desenvolvedor do Amazon Elastic Container Service. |
Amazon ECS em instâncias externas |
Use o perfil do IAM de instância de contêiner que está associado ao servidor on-premises ou à máquina virtual (VM) registrada no cluster do Amazon ECS. Para obter mais informações, consulte Perfil do Amazon ECS de instância de contêiner no Guia do desenvolvedor do Amazon Elastic Container Service. |
Para obter mais informações, consulte AmazonEC2ContainerServiceforEC2Role no Guia do desenvolvedor do Amazon Elastic Container Service. |
Importante
As políticas AWS gerenciadas do IAM contêm permissões adicionais que talvez você não precise para seu uso. Nesse caso, estas são as permissões mínimas necessárias para extrair de um repositório privado do Amazon ECR.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" } ] }
Especificar uma imagem do Amazon ECR em uma definição de tarefa do Amazon ECS
Ao criar uma definição de tarefa do Amazon ECS, é possível especificar uma imagem de contêiner hospedada em um repositório privado do Amazon ECR. Na definição de tarefa, verifique se você está usando a nomenclatura completa de registry/repository:tag
para as imagens do Amazon ECR. Por exemplo, aws_account_id
.dkr.ecr.region
.amazonaws.com/
.my-repository
:latest
O trecho de definição de tarefa a seguir mostra a sintaxe a ser usada para especificar uma imagem de contêiner hospedada no Amazon ECR em sua definição de tarefa do Amazon ECS.
{ "family": "
task-definition-name
", ... "containerDefinitions": [ { "name": "container-name
", "image": "
aws_account_id
.dkr.ecr.region
.amazonaws.com/
", ... } ], ... }my-repository
:latest