Uso de imagens do Amazon ECR com o Amazon ECS - Amazon ECR
Permissões obrigatórias do IAMEspecificar uma imagem do Amazon ECR em uma definição de tarefa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de imagens do Amazon ECR com o Amazon ECS

Você pode usar seus repositórios privados do Amazon ECR para hospedar imagens e artefatos de contêiner dos quais suas tarefas do Amazon ECS podem ser extraídas. Para que isso funcione, o agente de contêiner do Amazon ECS ou do Fargate deve ter permissões para criar as APIs ecr:BatchGetImage, ecr:GetDownloadUrlForLayer e ecr:GetAuthorizationToken.

Permissões obrigatórias do IAM

A tabela a seguir mostra o perfil do IAM a ser usado, para cada tipo de inicialização, que fornece as permissões necessárias para que suas tarefas sejam extraídas de um repositório privado do Amazon ECR. O Amazon ECS fornece políticas do IAM gerenciadas que incluem as permissões necessárias.

Tipo de inicialização Perfil do IAM Política do IAM gerenciada da AWS
Amazon ECS em instâncias do Amazon EC2

Use o perfil do IAM de instância de contêiner associado à instância do Amazon EC2 registrada em seu cluster do Amazon ECS. Para obter mais informações, consulte Perfil do IAM de instância de contêiner no Guia do desenvolvedor do Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Para obter mais informações, consulte AmazonEC2ContainerServiceforEC2Role no Guia do desenvolvedor do Amazon Elastic Container Service

Amazon ECS no Fargate

Use o perfil do IAM de execução de tarefas que você referencia em sua definição de tarefa do Amazon ECS. Para obter mais informações, consulte Perfil do IAM para execução de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.

AmazonECSTaskExecutionRolePolicy

Para obter mais informações, consulte AmazonECSTaskExecutionRolePolicy no Guia do desenvolvedor do Amazon Elastic Container Service.

Amazon ECS em instâncias externas

Use o perfil do IAM de instância de contêiner que está associado ao servidor on-premises ou à máquina virtual (VM) registrada no cluster do Amazon ECS. Para obter mais informações, consulte Perfil do Amazon ECS de instância de contêiner no Guia do desenvolvedor do Amazon Elastic Container Service.

AmazonEC2ContainerServiceforEC2Role

Para obter mais informações, consulte AmazonEC2ContainerServiceforEC2Role no Guia do desenvolvedor do Amazon Elastic Container Service.
Importante

As políticas do IAM gerenciadas pela AWS contêm permissões adicionais que talvez não sejam necessárias para seu uso. Nesse caso, estas são as permissões mínimas necessárias para extrair de um repositório privado do Amazon ECR.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken"
            ],
            "Resource": "*"
        }
    ]
}

Especificar uma imagem do Amazon ECR em uma definição de tarefa do Amazon ECS

Ao criar uma definição de tarefa do Amazon ECS, é possível especificar uma imagem de contêiner hospedada em um repositório privado do Amazon ECR. Na definição de tarefa, verifique se você está usando a nomenclatura completa de registry/repository:tag para as imagens do Amazon ECR. Por exemplo, aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest.

O trecho de definição de tarefa a seguir mostra a sintaxe a ser usada para especificar uma imagem de contêiner hospedada no Amazon ECR em sua definição de tarefa do Amazon ECS.

{
    "family": "task-definition-name",
    ...
    "containerDefinitions": [
        {
            "name": "container-name",
            "image": "aws_account_id.dkr.ecr.region.amazonaws.com/my-repository:latest",
            ...
        }
    ],
    ...
}