Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Private Amazon-ECR-Registrierung
Eine private Amazon-ECR-Registrierung host Ihre Container-Images in einer hochverfügbaren und skalierbaren Architektur. Sie können Ihre private Registrierung verwenden, um private Image-Repositories zu verwalten, die aus Docker- und Open Container Initiative (OCI)-Images und Artefakten bestehen. Jedes AWS Konto verfügt standardmäßig über eine private Amazon ECR-Registrierung. Weitere Informationen über öffentliche Amazon-ECR-Registrierungen finden Sie unter [Öffentliche Registrierungen](https://docs.aws.amazon.com/AmazonECR/latest/public/public-registries.html) im *öffentlichen Benutzerhandbuch von Amazon Elastic Container Registry*.
## Private Registrierungskonzepte
+ Die URL für Ihre private Standardregistrierung lautet `https://``aws_account_id.dkr.ecr.region.amazonaws.com`.
+ Standardmäßig hat Ihr Konto Lese- und Schreibzugriff auf die Repositories in Ihrer privaten Registrierung. Benutzer benötigen jedoch Berechtigungen, um Amazon ECR aufzurufen und Bilder in APIs und aus Ihren privaten Repositorys zu übertragen oder abzurufen. Amazon ECR bietet mehrere verwaltete Richtlinien zur Steuerung des Benutzerzugriffs auf verschiedenen Ebenen. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien](security_iam_id-based-policy-examples.md).
+ Sie müssen Ihren Docker-Client bei Ihrer privaten Registrierung authentifizieren, damit Sie die Befehle **docker push** und **docker pull** verwenden können, um Images zu den Repositories in dieser Registrierung zu pushen und zu pullen. Weitere Informationen finden Sie unter [Authentifizierung bei privaten Registern in Amazon ECR](registry_auth.md).
+ Private Repositories können sowohl mit -Benutzerzugriffsrichtlinien als auch mit Repository-Richtlinien kontrolliert werden. Weitere Hinweise zu Repository-Richtlinien finden Sie unter [Richtlinien für private Repositorys in Amazon ECR](repository-policies.md).
+ Die Repositorys in Ihrer privaten Registrierung können regionsübergreifend in Ihrer eigenen privaten Registrierung und über separate Konten hinweg AWS repliziert werden, indem Sie die Replikation für Ihre private Registrierung konfigurieren. Weitere Informationen finden Sie unter [Replikation privater Images in Amazon ECR](replication.md).
# Authentifizierung bei privaten Registern in Amazon ECR
Sie können das AWS-Managementkonsole, das oder das verwenden AWS CLI, um private Repositorys AWS SDKs zu erstellen und zu verwalten. Sie können mit diesen Methoden auch einige Aktionen für Images (z. B. auflisten oder löschen) ausführen. Diese Clients verwenden AWS Standardauthentifizierungsmethoden. Auch wenn Sie die Amazon ECR-API verwenden können, um Images zu pushen und zu ziehen, werden Sie wahrscheinlich eher die Docker-CLI oder eine sprachspezifische Docker-Bibliothek verwenden.
Die Docker-CLI unterstützt keine nativen IAM-Authentifizierungsmethoden. Es müssen zusätzliche Schritte unternommen werden, damit Amazon ECR die Push- und Pull-Anforderungen von Docker authentifizieren und autorisieren kann.
Die in den folgenden Abschnitten beschriebenen Authentifizierungsmethoden der Registrierung sind verfügbar.
## Verwendung des Amazon ECR Credential Helper
Amazon ECR stellt einen Docker Credential Helper zur Verfügung, der das Speichern und Verwenden von Docker Credentials beim Push- und Pull-Images an Amazon ECR erleichtert. Informationen zu Installations- und Konfigurationsschritten finden Sie unter [Amazon ECR Docker Credential Helper](https://github.com/awslabs/amazon-ecr-credential-helper).
**Anmerkung**
Der ECR Docker Credential Helper unterstützt derzeit keine Multi-Faktor-Authentifizierung (MFA).
## Verwendung eines Autorisierungs-Tokens
Der Berechtigungsbereich eines Berechtigungstokens entspricht dem des IAM-Principals, der zum Abrufen des Authentifizierungstokens verwendet wird. Ein Authentifizierungstoken wird für den Zugriff auf jede Amazon ECR-Registrierung verwendet, auf die Ihr IAM-Prinzipal Zugriff hat, und ist 12 Stunden lang gültig. Um ein Autorisierungstoken zu erhalten, müssen Sie mithilfe der [GetAuthorizationToken](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_GetAuthorizationToken.html)API-Operation ein Base64-kodiertes Autorisierungstoken abrufen, das den Benutzernamen `AWS` und ein codiertes Passwort enthält. Der AWS CLI ` get-login-password` Befehl vereinfacht dies, indem er das Autorisierungstoken abruft und dekodiert, das Sie dann an einen Befehl zur Authentifizierung weiterleiten können. **docker login**
**So authentifizieren Sie Docker bei einer privaten Amazon ECR-Registry mit get-login**
+
Um Docker bei einer Amazon ECR-Registry mit zu authentifizieren get-login-password, führen Sie den Befehl aus. **aws ecr get-login-password** Verwenden Sie bei der Übergabe des Authentifizierungs-Tokens an den Befehl **docker login** den Wert `AWS` für den Benutzernamen und geben Sie die URI der Amazon-ECR-Registrierung an, bei der Sie sich authentifizieren möchten. Wenn Sie sich bei mehreren Registrierungen authentifizieren, müssen Sie den Befehl für jede Registrierung wiederholen.
**Wichtig**
Bei einem Fehler installieren oder aktualisieren Sie auf die neueste AWS CLI-Version. Weitere Informationen finden Sie unter [Installieren der AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html) im *AWS Command Line Interface -Benutzerhandbuch*.
+ [get-login-password](https://docs.aws.amazon.com/cli/latest/reference/ecr/get-login-password.html) (AWS CLI)
```
aws ecr get-login-password --region region | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.region.amazonaws.com
```
+ [Get- Befehl () ECRLogin](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRLoginCommand.html)AWS Tools for Windows PowerShell
```
(Get-ECRLoginCommand).Password | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.region.amazonaws.com
```
## HTTP-API-Authentifizierung verwenden
Amazon ECR unterstützt die [Docker Registry HTTP API](https://docs.docker.com/registry/spec/api/). Da es sich bei Amazon ECR jedoch um eine private Registrierung handelt, müssen Sie bei jeder HTTP-Anforderung ein Autorisierungs-Token bereitstellen. Sie können mithilfe der `-H` Option for einen HTTP-Autorisierungsheader hinzufügen **curl** und das vom **get-authorization-token** AWS CLI Befehl bereitgestellte Autorisierungstoken übergeben.
**So authentifizieren Sie sich mit der Amazon ECR HTTP API**
1. Rufen Sie mit dem ein Autorisierungstoken ab AWS CLI und setzen Sie es auf eine Umgebungsvariable.
```
TOKEN=$(aws ecr get-authorization-token --output text --query 'authorizationData[].authorizationToken')
```
1. Um sich bei der API zu authentifizieren, übergeben Sie die Variable `$TOKEN` der Option ` -H` des Befehls **curl**. Der folgende Befehl listet zum Beispiel die Image-Tags in einem Amazon ECR-Repository auf. Weitere Informationen finden Sie in der [Docker Registry HTTP API](https://docs.docker.com/registry/spec/api/)-Referenzdokumentation.
```
curl -i -H "Authorization: Basic $TOKEN" https://aws_account_id.dkr.ecr.region.amazonaws.com/v2/amazonlinux/tags/list
```
Die Ausgabe sieht wie folgt aus:
```
HTTP/1.1 200 OK
Content-Type: text/plain; charset=utf-8
Date: Thu, 04 Jan 2018 16:06:59 GMT
Docker-Distribution-Api-Version: registry/2.0
Content-Length: 50
Connection: keep-alive
{"name":"amazonlinux","tags":["2017.09","latest"]}
```
# Private Registrierungseinstellungen in Amazon ECR
Amazon ECR verwendet private Registrierungseinstellungen, um Features auf der Registrierungsebene zu konfigurieren. Die privaten Registrierungseinstellungen werden für jede Region separat konfiguriert. Sie können private Registrierungseinstellungen verwenden, um die folgenden Features zu konfigurieren.
+ **Registrierungsberechtigungen** — Eine Richtlinie für Registrierungsberechtigungen bietet die Kontrolle über die Replikation und die Zugriffsberechtigungen für den Cache. Weitere Informationen finden Sie unter [Private Registrierungsberechtigungen in Amazon ECR](registry-permissions.md).
+ **Pull-Through-Cache-Regeln** — Eine Pull-Through-Cache-Regel wird verwendet, um Bilder aus einer Upstream-Registry in Ihrer privaten Amazon ECR-Registry zwischenzuspeichern. Weitere Informationen finden Sie unter [Synchronisieren Sie eine Upstream-Registrierung mit einer privaten Amazon ECR-Registrierung](pull-through-cache.md).
+ **Replikationskonfiguration** — Die Replikationskonfiguration wird verwendet, um zu steuern, ob Ihre Repositorys zwischen AWS-Regionen oder kopiert werden. AWS-Konten Weitere Informationen finden Sie unter [Replikation privater Images in Amazon ECR](replication.md).
+ **Vorlagen für die Repository-Erstellung** — Eine Vorlage für die Erstellung eines Repositorys wird verwendet, um die Standardeinstellungen zu definieren, die angewendet werden, wenn Amazon ECR in Ihrem Namen neue Repositorys erstellt. Zum Beispiel Repositorys, die durch eine Pull-Through-Cache-Aktion, durch Push erstellen oder durch Replikation erstellt wurden. Weitere Informationen finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).
+ **Scan-Konfiguration** — Standardmäßig ist Ihre Registrierung für grundlegende Scans aktiviert. Sie können die erweiterte Überprüfung aktivieren, die einen automatischen, kontinuierlichen Überprüfungsmodus bereitstellt, der sowohl nach Schwachstellen im Betriebssystem als auch in Programmiersprachenpaketen sucht. Weitere Informationen finden Sie unter [Bilder auf Softwareschwachstellen in Amazon ECR scannen](image-scanning.md).
+ **Ausschluss von Pull-Time-Updates** — Sie können Ausschlüsse für Pull-Time-Updates konfigurieren, um zu verhindern, dass die letzte Pull-Time für bestimmte Bilder aktualisiert wird, wenn diese abgerufen werden. Dies ist nützlich für Images, die zu CI/CD Testzwecken oder für Zwecke verwendet werden, bei denen Sie nicht möchten, dass die Abrufzeit die Entscheidungen über die Lebenszyklusrichtlinien beeinflusst. Weitere Informationen finden Sie unter [Ausschlüsse für Pull-Time-Updates](pull-time-update-exclusions.md).
+ **Blob-Mount-Konfiguration** — Die Blob-Mount-Konfiguration wird verwendet, um zu kontrollieren, ob die Repositorys in Ihrer Registrierung gemeinsame Ebenen haben, anstatt doppelte Ebenen zu speichern. Weitere Informationen finden Sie unter [Blob-Montage in Amazon ECR](blob-mounting.md).
# Blob-Montage in Amazon ECR
Amazon ECR unterstützt eine Funktion namens Blob-Mounting, um gemeinsame Bildebenen in allen Repositorys innerhalb einer Registrierung gemeinsam zu nutzen. Wenn diese Option aktiviert ist, können Repositorys innerhalb einer einzigen Registrierung auf Ebenen aus anderen Repositorys innerhalb derselben Registrierung verweisen, anstatt doppelte Kopien zu speichern.
Wenn das Einhängen von Registrierungs-Blobs aktiviert ist, sucht Amazon ECR bei Push-Vorgängen nach vorhandenen Layern in Ihrer Registrierung, wenn Mount-Parameter enthalten sind. Wenn ein Layer bereits in einem anderen Repository innerhalb derselben Registrierung vorhanden ist, hängt Amazon ECR den vorhandenen Layer ein, anstatt ein Duplikat hochzuladen.
**Anmerkung**
OCI-Clients fügen automatisch Mount-Parameter hinzu, wenn sie feststellen, dass ein Blob möglicherweise bereits in einem anderen Repository vorhanden ist. Amazon ECR versucht nur, das Mounten durchzuführen, wenn diese Parameter in der POST-Anforderung des Clients vorhanden sind.
## Konzepte zur Blob-Montage
+ Das Einhängen von Blobs funktioniert nur innerhalb derselben Registrierung (dasselbe Konto und dieselbe Region).
+ Repositorys müssen denselben Verschlüsselungstyp und identische Schlüssel verwenden.
+ Das Blob-Mounting wird für Bilder, die über einen Pull-Through-Cache erstellt wurden, nicht unterstützt.
+ Wenn Sie sich dafür entscheiden, das Blob-Mounting zu deaktivieren, funktionieren bestehende Images, für die das Push mit der Konfiguration des Blob-Mounting konfiguriert war, weiterhin und die Ebenen bleiben gemountet.
## Konfiguration für Blob-Mounting
Sie können das AWS-Managementkonsole oder verwenden AWS CLI , um das Blob-Mounting für Ihre Registrierung zu konfigurieren.
**Anmerkung**
Benutzer benötigen `ecr:GetDownloadUrlForLayer` IAM-Berechtigungen für ein Repository, um Ebenen aus diesem Repository zu mounten.
------
#### [ AWS-Managementkonsole ]
Gehen Sie wie folgt vor, um die Blob-Mount-Konfiguration Ihrer Registrierung mithilfe von zu aktualisieren. AWS-Managementkonsole
**Aktivieren Sie die Blob-Mount-Konfiguration für Ihre private Registrierung**
1. [Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/ private-registry/repositories](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Wählen Sie in der Navigationsleiste die Region aus.
1. Wählen Sie im Navigationsbereich **Private Registry**, **Feature & Settings** und anschließend **Blob Mounting** aus.
1. **Wählen Sie auf der **Blob-Mounting-Seite** die Option Aktivieren aus.**
Es wird ein Banner angezeigt, das darauf hinweist, dass die Blob-Mount-Konfiguration aktualisiert wurde, sodass sie aktiviert werden kann.
------
#### [ AWS CLI ]
Verwenden Sie den folgenden Befehl, um die Blob-Mount-Konfiguration Ihrer Registrierung mithilfe von zu aktualisieren. AWS CLI
+
```
aws ecr put-account-setting --name BLOB_MOUNTING --value ENABLED
```
------
# Private Registrierungsberechtigungen in Amazon ECR
Amazon ECR verwendet eine **Registrierungsrichtlinie**, um einem AWS -Prinzipal auf privater Registry-Ebene Berechtigungen zu erteilen.
Der Geltungsbereich wird durch Auswahl der Version der Registrierungsrichtlinie festgelegt. Es gibt zwei Versionen mit unterschiedlichem Geltungsbereich der Registrierungsrichtlinie: Version 1 (V1) und Version 2 (V2). V2 ist der erweiterte Geltungsbereich der Registrierungsrichtlinie, der alle ECR-Berechtigungen umfasst. Die vollständige Liste der API-Aktionen finden Sie im *[Amazon ECR API-Leitfaden](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html)*. Die Version V2 ist der standardmäßige Geltungsbereich der Registrierungsrichtlinie. Weitere Informationen zum Anzeigen oder Festlegen des Geltungsbereichs Ihrer Registrierungsrichtlinie finden Sie unter[Wechsel zum erweiterten Geltungsbereich der Registrierungsrichtlinie](registry-permissions-account-settings.md). Informationen zu den allgemeinen Einstellungen für Ihre private Amazon ECR-Registrierung finden Sie unter[Private Registrierungseinstellungen in Amazon ECR](registry-settings.md).
Die Versionen sind wie folgt detailliert.
+ **V1** — Für Version 1 erzwingt Amazon ECR nur die folgenden Berechtigungen auf privater Registrierungsebene.
+ `ecr:ReplicateImage` – Erteilt einem anderen Konto, das als Quellregistrierung bezeichnet wird, die Erlaubnis, seine Images in Ihre Registrierung zu replizieren. Dies wird nur für die kontoübergreifende Replikation verwendet.
+ `ecr:BatchImportUpstreamImage` – Erteilt die Berechtigung, das externe Image abzurufen und in Ihre private Registrierung zu importieren.
+ `ecr:CreateRepository` – Gewährt die Berechtigung zum Erstellen eines Repositorys in einer privaten Registrierung. Diese Berechtigung ist erforderlich, wenn das Repository, welches entweder die replizierten oder zwischengespeicherten Images speichert, noch nicht in der privaten Registrierung existiert.
+ **V2** — Für Version 2 lässt Amazon ECR alle ECR-Aktionen in der Richtlinie zu und setzt die Registrierungsrichtlinie in allen ECR-Anfragen durch.
Sie können die Konsole oder die CLI verwenden, um den Geltungsbereich Ihrer Registrierungsrichtlinie anzuzeigen oder zu ändern.
**Anmerkung**
Es ist zwar möglich, die `ecr:*` Aktion zu einer privaten Registrierungsrichtlinie hinzuzufügen, es wird jedoch als bewährte Methode angesehen, nur die spezifischen Aktionen hinzuzufügen, die für die von Ihnen verwendete Funktion erforderlich sind, anstatt einen Platzhalter zu verwenden.
**Topics**
+ [Beispiele für Richtlinien für private Registrierungen für Amazon ECR](registry-permissions-examples.md)
+ [Wechsel zum erweiterten Geltungsbereich der Registrierungsrichtlinie](registry-permissions-account-settings.md)
+ [Erteilen von Registrierungsberechtigungen für die kontoübergreifende Replikation in Amazon ECR](registry-permissions-create-replication.md)
+ [Erteilen von Registrierungsberechtigungen für den Pull-Through-Cache in Amazon ECR](registry-permissions-create-pullthroughcache.md)
# Beispiele für Richtlinien für private Registrierungen für Amazon ECR
Die folgenden Beispiele zeigen Richtlinienanweisungen für Registrierungsberechtigungen, die Sie verwenden können, um die Berechtigungen zu kontrollieren, die Benutzer für Ihre Amazon ECR-Registrierung haben.
**Anmerkung**
In jedem Beispiel kann die Replikation trotzdem stattfinden, wenn die `ecr:CreateRepository` Aktion aus Ihrer Registrierungsrichtlinie entfernt wird. Für eine erfolgreiche Replikation müssen Sie jedoch Repositories mit demselben Namen innerhalb Ihres Kontos erstellen.
## Beispiel: Erlauben Sie allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys zu replizieren
Die folgende Richtlinie für Registrierungsberechtigungen ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren.
Beachten Sie Folgendes:
+ **Wichtig:** Wenn Sie in einer Richtlinie eine AWS-Konto ID als Principal angeben, gewähren Sie allen IAM-Benutzern und -Rollen innerhalb dieses Kontos Zugriff, nicht nur dem Root-Benutzer. Dies ermöglicht einen umfassenden Zugriff auf das gesamte Konto.
+ **Sicherheitsüberlegung:** Berechtigungen auf Kontoebene gewähren Zugriff auf alle IAM-Entitäten im angegebenen Konto. Geben Sie für einen restriktiveren Zugriff einzelne IAM-Benutzer oder Rollen an oder verwenden Sie Bedingungsanweisungen, um den Zugriff weiter einzuschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
```
------
## Beispiel: Erlauben Sie IAM-Prinzipale von mehreren Konten
Die folgende Richtlinie für Registrierungsberechtigungen besteht aus zwei Aussagen. Jede Anweisung ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount1",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
},
{
"Sid":"ReplicationAccessCrossAccount2",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::444455556666:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
}
]
}
```
------
## Beispiel: Erlaubt allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys mit Präfix zu replizieren. `prod-`
Die folgende Richtlinie für Registrierungsberechtigungen ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren, die mit beginnen. ` prod-`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
]
}
]
}
```
------
# Wechsel zum erweiterten Geltungsbereich der Registrierungsrichtlinie
**Wichtig**
Für neue Benutzer werden Ihre Registrierungen automatisch so konfiguriert, dass sie bei der Erstellung die ` V2` Registrierungsrichtlinie verwenden. Sie müssen keine Maßnahmen ergreifen. Amazon ECR empfiehlt nicht, zur vorherigen Registrierungsrichtlinie zurückzukehren. `V1`
Sie können die Konsole oder die CLI verwenden, um den Geltungsbereich Ihrer Registrierungsrichtlinie anzuzeigen oder zu ändern.
------
#### [ AWS-Managementkonsole ]
Gehen Sie wie folgt vor, um Ihre Kontoeinstellungen einzusehen. Informationen zum Anzeigen oder Aktualisieren des Geltungsbereichs der Registrierungsrichtlinie finden Sie im CLI-Verfahren auf dieser Seite.
**Aktivieren Sie die erweiterte Registrierungsrichtlinie für Ihre private Registrierung**
1. [Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/ private-registry/repositories](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Wählen Sie in der Navigationsleiste die Region aus.
1. Wählen Sie im Navigationsbereich **Private Registrierung**, **Funktion und Einstellungen** und anschließend **Berechtigungen** aus.
1. Sehen Sie sich auf der Seite „**Berechtigungen**“ unter „**Registrierungsrichtlinie**“ Ihren Richtlinien-JSON an. Wenn Sie über die V1-Richtlinie verfügen, wird ein Banner mit Anweisungen zur Aktualisierung auf Version 2 angezeigt. Wählen Sie **Enable (Aktivieren)** aus.
Es wird ein Banner angezeigt, das darauf hinweist, dass der Geltungsbereich der Registrierungsrichtlinie auf Version V2 aktualisiert wurde.
1. Sie können optional auch Berechtigungen mit der CLI konfigurieren. Weitere Informationen finden Sie unter [Private Registrierungseinstellungen in Amazon ECR](registry-settings.md).
**Anmerkung**
Informationen zum Anzeigen oder Aktualisieren des Geltungsbereichs der Registrierungsrichtlinie finden Sie im CLI-Verfahren auf dieser Seite.
------
#### [ AWS CLI ]
Amazon ECR generiert die V2-Registrierungsrichtlinie. Gehen Sie wie folgt vor, um den Geltungsbereich der Registrierungsrichtlinie anzuzeigen oder zu aktualisieren. Sie können den Geltungsbereich der Registrierungsrichtlinie in der Konsole nicht anzeigen oder ändern
+ Um die Registrierungsrichtlinie abzurufen, die Sie derzeit verwenden.
```
aws ecr get-account-setting --name REGISTRY_POLICY_SCOPE
```
Der Parametername ist ein Pflichtfeld. Wenn Sie den Namen nicht angeben, erhalten Sie die folgende Fehlermeldung:
```
aws: error: the following arguments are required: --name
```
Sehen Sie sich die Ausgabe für Ihren Registrierungsrichtlinien-Befehl an. In der folgenden Beispielausgabe ist die Version der Registrierungsrichtlinie V1.
```
{
"name": "REGISTRY_POLICY_SCOPE",
"value": "V1"
}
```
Sie können die Version Ihrer Registrierungsrichtlinie von `V1` zu ändern`V2`. V1 ist nicht der empfohlene Geltungsbereich der Registrierungsrichtlinie.
```
aws ecr put-account-setting --name REGISTRY_POLICY_SCOPE --value value
```
Verwenden Sie beispielsweise den folgenden Befehl, um auf V2 zu aktualisieren.
```
aws ecr put-account-setting --name REGISTRY_POLICY_SCOPE --value V2
```
Sehen Sie sich die Ausgabe für Ihren Registrierungsrichtlinien-Befehl an. In der folgenden Beispielausgabe wurde die Version der Registrierungsrichtlinie auf V2 aktualisiert.
```
{
"name": "REGISTRY_POLICY_SCOPE",
"value": "V2"
}
```
------
# Erteilen von Registrierungsberechtigungen für die kontoübergreifende Replikation in Amazon ECR
Der kontoübergreifende Richtlinientyp wird verwendet, um einem AWS Prinzipal Berechtigungen zu erteilen, sodass die Repositorys von einer Quellregistrierung in Ihre Registrierung repliziert werden können. Standardmäßig haben Sie die Berechtigung, die regionenübergreifende Replikation innerhalb Ihrer eigenen Registrierung zu konfigurieren. Sie müssen die Registrierungsrichtlinie nur konfigurieren, wenn Sie einem anderen Konto die Berechtigung erteilen, Inhalte in Ihre Registrierung zu replizieren.
Eine Registrierungsrichtlinie muss die Berechtigung für die API-Aktion `ecr:ReplicateImage` erteilen. Diese API ist eine interne Amazon ECR-API, die Images zwischen Regionen oder Konten replizieren kann. Sie können auch die Berechtigung für die ` ecr:CreateRepository`-Berechtigung erteilen, die es Amazon ECR erlaubt, Repositories in Ihrer Registrierung zu erstellen, wenn diese noch nicht vorhanden sind. Wenn die Berechtigung `ecr:CreateRepository` nicht vorhanden ist, muss ein Repository mit demselben Namen wie das Quell-Repository manuell in Ihrer Registrierung erstellt werden. Wenn dies nicht geschieht, schlägt die Replikation fehl. Alle fehlgeschlagenen Aktionen `CreateRepository` oder `ReplicateImage` API-Aktionen werden in CloudTrail angezeigt.
## So konfigurieren Sie eine Berechtigungsrichtlinie für die Replikation (AWS-Managementkonsole)
1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre Registrierungsrichtlinie konfigurieren möchten.
1. Wählen Sie im Navigationsbereich **Private Registrierung**, dann **Funktionen und Einstellungen** und anschließend **Berechtigungen** aus.
1. Wählen Sie auf der Seite **Registrierungsberechtigungen** die Option **Anweisung generieren** aus.
1. Führen Sie die folgenden Schritte aus, um Ihre Richtlinie mit Hilfe des Richtliniengenerators zu definieren.
1. Wählen Sie als **Richtlinientyp** die Option **Replikation — kontenübergreifend** aus.
1. Geben Sie für **Kontoauszug-ID** eine eindeutige Kontoauszug-ID ein. Dieses Feld wird als `Sid` für die Registrierungsrichtlinie verwendet.
1. Geben Sie unter **Konten** das Konto IDs für jedes Konto ein, dem Sie Berechtigungen erteilen möchten. Wenn Sie mehrere Konten angeben IDs, trennen Sie diese durch ein Komma.
1. Wählen Sie **Speichern**.
## So konfigurieren Sie eine Berechtigungsrichtlinie für die Replikation (AWS CLI)
1. Erstellen Sie eine Datei mit dem Namen `registry_policy.json` und füllen Sie sie mit einer Registrierungsrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
```
------
1. Erstellen Sie die Registrierungsrichtlinie mithilfe der Richtliniendatei.
```
aws ecr put-registry-policy \
--policy-text file://registry_policy.json \
--region us-west-2
```
1. Rufen Sie die Richtlinie für Ihre Registry zur Bestätigung ab.
```
aws ecr get-registry-policy \
--region us-west-2
```
# Erteilen von Registrierungsberechtigungen für den Pull-Through-Cache in Amazon ECR
Private Registrierungsberechtigungen von Amazon ECRs können verwendet werden, um die Berechtigungen einzelner IAM-Entitäten zur Verwendung von Pull-Through-Cache zu nutzen. Wenn eine IAM-Entität mehr Berechtigungen hat, die durch eine IAM-Richtlinie gewährt werden, als die Registrierungsberechtigungsrichtlinie gewährt, hat die IAM-Richtlinie Vorrang.
**So erstellen Sie eine Richtlinie für private Registrierungsberechtigungen (AWS-Managementkonsole)**
1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihre private Registrierungsberechtigungserklärung konfigurieren möchten.
1. Wählen Sie im Navigationsbereich **Private Registrierung**, dann **Funktionen und Einstellungen** und anschließend **Berechtigungen** aus.
1. Wählen Sie auf der Seite **Registrierungsberechtigungen** die Option **Anweisung generieren** aus.
1. Gehen Sie für jede Richtlinienanweisung für Pull-Through-Cache-Berechtigungen, die Sie erstellen möchten, wie folgt vor.
1. Wählen Sie für **Richtlinientyp**, **Pull-Through-Cache-Richtlinie** aus.
1. Für **Anweisungs-ID**, geben Sie einen Namen für die Richtlinie zur Pull-Through-Cache-Anweisung an.
1. Geben Sie für **IAM entities** (IAM-Entitäten) die Benutzer, Gruppen oder Rollen an, die in die Richtlinie aufgenommen werden sollen.
1. Wählen Sie **unter Cache-Namespace** die Pull-Through-Cacheregel aus, der Sie die Richtlinie zuordnen möchten.
1. Für **Repository-Namen**, geben Sie den Repository-Basisnamen an, für den die Regel angewendet werden soll. Wenn Sie beispielsweise das Amazon-Linux-Repository auf Amazon ECR Public angeben möchten, lautet der Repository-Name ` amazonlinux`.