用於控制在提取快取動作期間建立的儲存庫的範本 - Amazon ECR
運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於控制在提取快取動作期間建立的儲存庫的範本

Amazon ECR 的儲存庫建立範本功能目前為預覽版本,可能會有所變更。在此公開預覽期間,只有 AWS Management Console 可用於管理存放庫建立範本。

使用 Amazon ECR 儲存庫建立範本,在提取快取動作期間,為 Amazon ECR 代表您建立的儲存庫定義設定。儲存庫建立範本中的設定只會在建立儲存庫期間套用,對使用任何其他方法建立的現有儲存庫或儲存庫沒有任何影響。

下列區域不支援儲存庫建立範本:

  • 中國 (北京) (cn-north-1)

  • 中國 (寧夏) (cn-northwest-1)

  • AWS GovCloud (美國東部) (us-gov-east-1)

  • AWS GovCloud (美國西部) (us-gov-west-1)

儲存庫建立範本的運作方式

有時 Amazon ECR 需要代表您建立新的私有儲存庫。例如,您第一次使用提取快取規則來擷取上游儲存庫的內容,並將其存放在 Amazon ECR 私有儲存庫時。如果沒有符合您提取快取規則的存放庫建立範本,Amazon ECR 會使用新儲存庫的預設設定。這些預設設定包括關閉標籤不變性、使用 AES-256 加密,以及不套用任何儲存庫或生命週期政策。

使用具有符合提取快取規則的字首之儲存庫建立範本,可讓您定義 Amazon ECR 套用於透過提取快取動作建立的新儲存庫之設定。您可以為新儲存庫定義標籤不變性、加密組態、儲存庫許可、生命週期政策和資源標籤。

下圖顯示使用儲存庫建立範本時 Amazon ECR 所使用的工作流程。

顯示如何將儲存庫建立範本套用至新儲存庫。

以下詳細說明儲存庫建立範本中的每個參數。

字首

字首是與範本相關聯的儲存庫命名空間字首。使用此字首建立的所有儲存庫都會套用此範本中定義的設定。例如,prod 字首會套用至開頭為 prod/ 的所有儲存庫。同樣地,prod/team 字首會套用至開頭為 prod/team/ 的所有儲存庫。

若要將範本套用至登錄檔中沒有關聯建立範本的所有儲存庫,您可以使用 ROOT 做為字首。

重要

總會有一個假設 / 套用至字首的結尾。如果您指定 ecr-public 為字首,Amazon ECR 會將其視為 ecr-public/。使用提取快取規則時,您在規則建立期間指定的儲存庫字首,也應該將其指定為儲存庫建立範本字首。

描述

範本描述是選用的,用於描述儲存庫建立範本的目的。

範本版本

要使用的儲存庫建立範本版本。目前僅支援 TV1 範本版本。

組態版本

範本要使用的儲存庫組態版本。每個範本都必須包含儲存庫組態。預設組態版本為 CV1,且包含映像標籤可變性、儲存庫政策和生命週期政策設定。

映像標籤可變性

用於使用範本建立的儲存庫之標籤可變性設定。如果省略此參數,則會使用可變預設設定,以允許覆寫映像標籤。建議使用此設定,用於透過提取快取動作所建立的儲存庫的範本。這可確保標籤相同時,Amazon ECR 可以更新快取的映像。

如果已指定不可變,儲存庫中的所有映像標籤不可變,這會阻止它們遭覆寫。

加密組態

用於使用範本建立之儲存庫的加密組態

如果您使用 KMS 加密類型,儲存庫內容將搭配使用伺服器端加密與存放在 AWS KMS中的 AWS Key Management Service 金鑰進行加密。使用 AWS KMS 加密資料時,您可以使用 Amazon ECR 的預設 AWS 受管 AWS KMS 金鑰,也可以指定自己已建立的 AWS KMS 金鑰。如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用儲存在 AWS Key Management Service (SSE-KMS) 的金 AWS Key Management Service 鑰使用伺服器端加密來保護資料

如果您使用 AES256 加密類型,Amazon ECR 搭配使用伺服器端加密與 Amazon S3 受管加密金鑰,該方法使用 AES-256 加密演算法對儲存庫中的映像進行加密。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的透過 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料

儲存庫許可

套用至使用範本建立之儲存庫的儲存庫政策。儲存庫政策使用資源型許可來控制儲存庫的存取。資源型權限可讓您指定哪些 IAM 使用者或角色可以存取儲存庫,以及他們可以執行的動作。依預設,只有建立儲存庫的 AWS 帳戶才能存取存放庫。您可以套用政策文件,授予或拒絕對儲存庫的其他許可。如需詳細資訊,請參閱 Amazon ECR 中的私有儲存庫政策

儲存庫生命週期政策

用於使用範本建立的儲存庫之生命週期政策。生命週期政策提供對私有儲存庫中映像的生命週期管理的更多控制。生命週期政策包含一個或多項規則,其中的每一項規則都會定義 Amazon ECR 的動作。這提供藉由依據年齡或計數讓映像過期的方式,自動清理您的容器映像。如需詳細資訊,請參閱 在 Amazon ECR 中使用生命週期政策自動清理映像檔

資源標籤

資源標籤是要套用至儲存庫的中繼資料,可協助您分類和組織儲存庫。每個標籤皆包含由您定義的一個金鑰與一個選用值。