Anfragen an Amazon ECR-Registries stellen - Amazon ECR
Erste Schritte mit IPv6Testen der IP-AdresskompatibilitätSenden von Anforderungen unter Verwendung von Dual-Stack-EndpunktenVerwenden von Amazon ECR-Endpunkten über die Docker-CLIVerwendung von IPv6 Adressen in IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anfragen an Amazon ECR-Registries stellen

Sie können OCI-Images, Docker-Images und OCI-kompatible Artefakte in privaten Amazon ECR-Registern übertragen, abrufen, löschen, anzeigen und verwalten, indem Sie entweder IPv4 Nur-Endpunkte oder Dual-Stack- (und) Endpunkte verwenden. IPv4 IPv6 Für Anfragen aus Netzwerken können Sie entweder Dual-Stack- oder Endpoints verwenden. IPv4 IPv4 Verwenden Sie einen Dual-Stack-Endpunkt, um Anfragen von einem IPv6 Netzwerk aus zu stellen. Weitere Informationen zum Stellen von Anfragen an öffentliche Amazon ECR-Register mithilfe IPv4 von Dual-Stack-Endpunkten finden Sie unter Anfragen an öffentliche Amazon ECR-Registries stellen. Für den Zugriff auf Amazon ECR über IPv6 fallen keine zusätzlichen Gebühren an. Weitere Informationen zu den Preisen finden Sie unter Amazon Elastic Container Registry — Preise.

Anmerkung

Amazon ECR unterstützt keinen AWS PrivateLink Datenverkehr über Dual-Stack-Endpunkte. Sie dürfen IPv4 nur Amazon ECR-Endpunkte verwenden, wenn Sie Support benötigen. AWS PrivateLink

Amazon ECR-Endpunkte werden durch Attribute gekennzeichnet, die über die Unterstützung von Only-Endpoints oder IPv4 Dual-Stack-Endpunkten hinausgehen. Zu diesen Attributen können gehören:

  • Region — Jeder Endpunkt ist spezifisch für eine Region.

  • Typ — Die Auswahl des Endpunkts hängt davon ab, ob Sie das AWS SDK oder OCI-kompatible Schnittstellen und Docker-Befehlszeilenschnittstellen verwenden.

  • Sicherheit — In ausgewählten Regionen bietet Amazon ECR FIPS-konforme Endgeräte. Weitere Informationen zu einer Liste von FIPS-konformen Amazon ECR-Endpunkten finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Weitere Informationen zu Service-Endpunkten, die von Dual-Stack- IPv4, Docker- und OCI-Client unterstützt werden, der Amazon ECR-API-Aufrufe über die AWS CLI verarbeitet, finden Sie unter Service-Endpunkte. AWS SDKs

Erste Schritte mit dem Stellen von Anfragen über IPv6

Um eine Anfrage an eine Amazon ECR-Registrierung zu stellen IPv6, müssen Sie einen Dual-Stack-Endpunkt verwenden. Bevor Sie auf eine Amazon ECR-Registrierung zugreifen IPv6, überprüfen Sie die folgenden Anforderungen:

  • Ihr Client und Ihr Netzwerk müssen dies unterstützen IPv6.

  • Amazon ECR unterstützt die folgenden Anforderungstypen über IPv6:

    • OCI- und Docker-Client-Anfragen:

      <registry-id>.dkr-ecr.<aws-region>.on.aws

    • AWS API-Anfragen:

      ecr.<aws-region>.api.aws

  • Sie müssen alle AWS Identity and Access Management (IAM-) oder Registrierungsrichtlinien aktualisieren, die Quell-IP-Adressfilterung verwenden, um IPv6 Adressbereiche einzubeziehen. Weitere Informationen finden Sie unter Verwendung von IPv6 Adressen in IAM-Richtlinien.

  • Wenn Sie diese Option verwenden IPv6, zeigen Serverzugriffsprotokolle Remote IP Adressen im IPv6 Format an. Aktualisieren Sie Ihre vorhandenen Tools, Skripts und Software, um diese IPv6 -formatierten IP-Adressen zu analysieren.

    Anmerkung

    Wenn Sie Probleme im Zusammenhang mit dem Vorhandensein von IPv6 Adressen in Protokolldateien haben, wenden Sie sich an. AWS -Support

Testen der IP-Adresskompatibilität

Wenn Sie Linux/Unix oder Mac OS X verwenden, können Sie testen, ob Sie über IPv6 den curl Befehl auf einen Dual-Stack-Endpunkt zugreifen können, wie im folgenden Beispiel gezeigt:

curl --verbose https://ecr.us-west-2.api.aws

Sie erhalten Informationen wie im folgenden Beispiel gezeigt zurück. Wenn Sie über IPv6 die verbundene IP-Adresse verbunden sind, wird dies eine Adresse sein. IPv6 

* About to connect() to ecr.us-west-2.api.aws port 443 (#0)
* Trying IPv6 address... connected
* Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0)
> Host: ecr.us-west-2.api.aws
* Request completely sent off

Wenn Sie Microsoft Windows 7 oder Windows 10 verwenden, können Sie testen, ob Sie über IPv4 oder IPv6 mithilfe des ping Befehls auf einen Dual-Stack-Endpunkt zugreifen können, wie im folgenden Beispiel gezeigt.

ping ecr.us-west-2.api.aws

Senden von Anfragen mithilfe IPv6 von Dual-Stack-Endpunkten

Sie können Amazon ECR API-Aufrufe über IPv6 Dual-Stack-Endpunkte tätigen. Die Funktionalität und Leistung der Amazon ECR-API-Operationen bleiben konsistent, unabhängig davon, ob Sie IPv4 oder IPv6 verwenden.

Wenn Sie AWS Command Line Interface (AWS CLI) und verwenden AWS SDKs, können Sie IPv6 entweder einen Parameter oder ein Flag verwenden, um zu einem Dual-Stack-Endpunkt zu wechseln, oder indem Sie den Dual-Stack-Endpunkt direkt in Ihrer Konfigurationsdatei angeben, um den standardmäßigen Amazon ECR-Endpunkt zu überschreiben. Sie können Konfigurationsänderungen auch mithilfe eines Befehls vornehmen, der im Standardprofil use_dualstack_endpoint auf true gesetzt ist. Weitere Informationen zu use_dualstack_endpoint finden Sie unter Dual-Stack- und FIPS-Endpunkte.

Beispiel Vornehmen von Konfigurationsänderungen mithilfe eines Befehls

aws configure set default.ecr.use_dualstack_endpoint true

Beispiel Anfragen stellen statt IPv6 verwenden AWS CLI

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Verwenden von Amazon ECR-Endpunkten über die Docker-CLI

Nachdem Sie sich bei Ihrem Amazon ECR-Repository angemeldet und Ihr Image mit einem Tag versehen haben, können Sie OCI-Images und Docker-Images per Push zu und von Amazon ECR-Registern übertragen und abrufen. Die folgenden Beispiele demonstrieren die Befehle Docker Push und Docker Pull mit beiden Dual-Stack-Endpunkten.

Beispiel Docker-Images mithilfe IPv4 des Endpunkts pushen

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

Beispiel Docker-Images mithilfe eines Dual-Stack-Endpunkts pushen

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Beispiel Docker-Images mithilfe des Endpunkts abrufen IPv4

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

Beispiel Abrufen von Docker-Images mithilfe eines Dual-Stack-Endpunkts

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Verwendung von IPv6 Adressen in IAM-Richtlinien

Bevor Sie mithilfe von auf eine Registrierung zugreifen IPv6, stellen Sie sicher, dass Ihre IAM-Benutzer- und Amazon ECR-Registrierungsrichtlinien, die IP-Adressfilterung verwenden, Adressbereiche enthalten IPv6 . Wenn die Richtlinien zur IP-Adressfilterung nicht aktualisiert werden, um IPv6 Adressen zu verarbeiten, verlieren oder erhalten Kunden möglicherweise fälschlicherweise Zugriff auf die Registrierung, wenn sie sie verwenden. IPv6 Weitere Informationen über die Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Identity and Access Management für Amazon Elastic Container Registry.

IAM-Richtlinien, die IP-Adressen filtern, verwenden Bedingungsoperatoren für IP-Adressen. Das folgende Beispiel für eine Registrierungsrichtlinie zeigt, wie der 54.240.143.* Bereich der zulässigen IPv4 Adressen mithilfe von Bedingungsoperatoren für IP-Adressen identifiziert werden kann. Allen IP-Adressen außerhalb dieses Bereichs wird der Zugriff auf die Registrierung verweigert (exampleregistry). Da sich alle IPv6 Adressen außerhalb des zulässigen Bereichs befinden, verhindert diese Richtlinie den Zugriff von IPv6 Adressenexampleregistry.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "ecr:*",
      "Resource": "arn:aws:ecr:::exampleregistry/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Um sowohl IPv4 (54.240.143.0/24) als auch IPv6 (2001:DB8:1234:5678::/64) Adressbereiche zuzulassen, ändern Sie das Condition-Element der Registrierungsrichtlinie, wie im folgenden Beispiel gezeigt. Sie können dieses Condition Blockformat verwenden, um sowohl Ihre IAM-Benutzer- als auch Ihre Registrierungsrichtlinien zu aktualisieren.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }
Wichtig

Vor der Verwendung müssen IPv6 Sie alle relevanten IAM-Benutzer- und Registrierungsrichtlinien aktualisieren, die IP-Adressfilterung verwenden. Es wird nicht empfohlen, die IP-Adressfilterung in Registrierungsrichtlinien zu verwenden.

Sie können Ihre IAM-Benutzerrichtlinien in der IAM-Konsole unter überprüfen. https://console.aws.amazon.com/iam/ Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch.