Conceder permissões de registro para replicação entre contas no Amazon ECR - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder permissões de registro para replicação entre contas no Amazon ECR

O tipo de política entre contas é usado para conceder permissões a uma entidade principal do AWS, permitindo a replicação dos repositórios de um registro de origem para o seu registro. Por padrão, você tem permissão para configurar a replicação entre regiões no seu próprio registro. Só é necessário configurar a política de registro se estiver concendendo outra permissão de conta para replicar conteúdo para o seu registro.

Uma política de registro deve conceder permissão para a ação de API ecr:ReplicateImage. Essa API é uma API interna do Amazon ECR que pode replicar imagens entre regiões ou contas. Você também pode conceder a permissão ecr:CreateRepository, que permite que o Amazon ECR crie repositórios em seu registro se eles ainda não existirem. Se a permissão ecr:CreateRepository não for fornecida, um repositório com o mesmo nome que o repositório de origem deve ser criado manualmente no seu registro. Se nenhuma das duas alternativas foi realizada, a replicação falha. Quaisquer ações de API CreateRepository ou ReplicateImage com falha são exibidas no CloudTrail.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.

  2. Na barra de navegação, escolha a região para configurar a sua política de registro.

  3. No painel de navegação, escolha Private registry (Registro privado), Registry permissions (Permissões do registro).

  4. Na página Registry permissions (Permissões do registro), escolha Generate statement (Gerar declaração).

  5. Realize as seguintes etapas para definir a instrução da política usando o gerador de políticas.

    1. Em Policy type (Tipo de Política), escolha Cross-account policy (Política entre contas).

    2. Para Statement ID (ID da instrução), insira um ID de instrução exclusivo. Este campo é usado como o Sid na política de registro.

    3. Para Accounts (Contas), insira os IDs de conta para cada conta à qual você deseja conceder permissões. Ao especificar vários IDs de conta, separe-os com uma vírgula.

  6. Expanda a seção Preview policy statement (Previsualizar instrução da política para rever a instrução da política de permissões do registro.

  7. Depois que a instrução da política for confirmada, escolha Add to policy (Adicionar à política) para salvar a política em seu registro.

  1. Crie um arquivo denominado registry_policy.json e preencha-o com uma política de registro.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Crie a política de registro usando o arquivo de política.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Recupere a política para seu registro para confirmar.

    aws ecr get-registry-policy \
      --region us-west-2