IAMpermissões necessárias para sincronizar um registro upstream com um registro ECR privado da Amazon

Além das ECR API permissões da Amazon necessárias para se autenticar em um registro privado e enviar e extrair imagens, as seguintes permissões adicionais são necessárias para usar as regras de cache pull through de forma eficaz.

• ecr:CreatePullThroughCacheRule: concede permissão para criar regra de cache de pull-through. Essa permissão deve ser concedida por meio de uma política baseada em identidadeIAM.

• ecr:BatchImportUpstreamImage: concede permissão para recuperar a imagem externa e importá-la para o registro privado. Essa permissão pode ser concedida usando a política de permissões do registro privado, uma política baseada em identidade ou usando a IAM política de permissões do repositório baseada em recursos. Para obter mais informações sobre o uso de permissões de repositório, consulte Políticas de repositório privado no Amazon ECR.

• ecr:CreateRepository: concede permissão para criar um repositório em um registro privado. Essa permissão é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Essa permissão pode ser concedida por uma IAM política baseada em identidade ou pela política de permissões de registro privado.

• ecr:TagResource— Concede permissão para adicionar tags de metadados a um ECR recurso da Amazon. Essa permissão só é necessária se você estiver extraindo uma imagem que usa uma regra de cache de pull-through que tenha um modelo de criação de repositório associado configurado para adicionar tags de recursos ao repositório. Essa permissão deve ser concedida por meio de uma política baseada em identidadeIAM.

Usar permissões de registro

As permissões de registro ECR privado da Amazon podem ser usadas para definir o escopo das permissões de IAM entidades individuais para usar o cache pull through. Se uma IAM entidade tiver mais permissões concedidas por uma IAM política do que a política de permissões do registro está concedendo, a IAM política terá precedência. Por exemplo, se um usuário já tiver as permissões ecr:*, não serão necessárias permissões adicionais no nível do registro.

Para criar uma política de permissões de um registro privado (AWS Management Console)

1. Abra o ECR console da Amazon em https://console.aws.amazon.com/ecr/.

2. Na barra de navegação, escolha a região na qual deseja configurar a sua declaração de permissões da política do registro.

3. No painel de navegação, escolha Private registry (Registro privado), Registry permissions (Permissões do registro).

4. Na página Registry permissions (Permissões do registro), escolha Generate statement (Gerar declaração).

5. Para cada declaração de política de permissões de cache de pull-through que você criar, faça o seguinte.

   1. Em Policy type (Tipo de política), escolha Pull through cache policy (Política de cache de pull-through).

   2. Em Statement id (ID da declaração), forneça um nome para a política de declaração do cache de pull-through.

   3. Para IAMentidades, especifique os usuários, grupos ou funções a serem incluídos na política.

   4. Em Repository namespace (Namespace do repositório), selecione a regra de cache de pull-through para associar à política.

   5. Em Repository names (Nomes de repositórios), especifique o nome da base do repositório ao qual a regra será aplicada. Por exemplo, se você quiser especificar o repositório Amazon Linux no Amazon ECR Public, o nome do repositório seria. amazonlinux

Para criar uma política de permissões de um registro privado (AWS CLI)

Use o AWS CLI comando a seguir para especificar as permissões do registro privado usando AWS CLI o.

1. Crie um arquivo local denominado ptc-registry-policy.json com o conteúdo da política do registro. O exemplo a seguir concede a ecr-pull-through-cache-user permissão para criar um repositório e extrair uma imagem do Amazon ECR Public, que é a fonte upstream associada à regra de cache pull through criada anteriormente.

   {
     "Sid": "PullThroughCacheFromReadOnlyRole",
     "Effect": "Allow",
     "Principal": {
       "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
     },
     "Action": [
       "ecr:CreateRepository",
       "ecr:BatchImportUpstreamImage"
     ],
     "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
   }

   Importante

   A permissão ecr-CreateRepository é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Por exemplo, se a ação de criação do repositório e as ações de extração de imagem estiverem sendo realizadas por IAM diretores separados, como um administrador e um desenvolvedor.

2. Use o put-registry-policycomando para definir a política de registro.

   aws ecr put-registry-policy \
        --policy-text file://ptc-registry.policy.json

Próximas etapas

Quando você estiver pronto para começar a usar as regras de cache de pull-through, as próximas etapas são apresentadas a seguir.

• Crie uma regra de cache de pull-through. Para obter mais informações, consulte Criação de uma regra de cache pull through na Amazon ECR.

• Crie um modelo de criação de repositório. Um modelo de criação de repositório dá a você o controle para definir as configurações a serem usadas para novos repositórios criados pela Amazon ECR em seu nome durante uma ação de pull through cache. Para obter mais informações, consulte Modelos para controlar repositórios criados durante uma ação de extração de cache ou replicação.