Ausschlüsse für Pull-Time-Updates verwalten

Um Ausschlüsse für Pull-Time-Updates zu verwalten, benötigen Sie die folgenden IAM-Berechtigungen:

ecr:CreatePullTimeUpdateExclusion— Erteilt die Erlaubnis, einen Rollen-ARN zur Ausschlussliste hinzuzufügen.
ecr:DeletePullTimeUpdateExclusion— Erteilt die Erlaubnis, einen Rollen-ARN aus der Ausschlussliste zu entfernen.
ecr:ListPullTimeUpdateExclusions— Erteilt die Erlaubnis, alle Rollen ARNs in der Ausschlussliste aufzulisten.

Anmerkung

Sie benötigen keine iam:PassRole Genehmigung. Amazon ECR übernimmt nicht die Rolle, eine Aktion auszuführen. Es verwendet lediglich die Ausschlusskonfiguration, ARNs um zu bestimmen, ob die Abrufzeit des Images aktualisiert werden soll.

Sie können Ausschlüsse für Pull-Time-Updates mit der Amazon ECR-Konsole oder der CLI verwalten. AWS

AWS-Managementkonsole

Um Ausnahmen für Pull-Time-Updates zu verwalten ()AWS-Managementkonsole

Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/ private-registry/repositories
Wählen Sie in der Navigationsleiste die Region aus.
Wählen Sie im Navigationsbereich Private Registrierung, Funktionen und Einstellungen und anschließend Ausnahmen für Pull-Time-Updates aus.
Um einen Ausschluss hinzuzufügen, wählen Sie Ausschluss hinzufügen, geben Sie den Rollen-ARN ein und wählen Sie dann Hinzufügen.
Um einen Ausschluss zu entfernen, wählen Sie den Rollen-ARN aus der Liste aus und klicken Sie auf Löschen.
Um alle Ausnahmen anzuzeigen, werden in der Liste alle konfigurierten Rollen ARNs angezeigt.

AWS CLI

Um einen Ausschluss für Pull-Time-Updates zu erstellen

Verwenden Sie den create-pull-time-update-exclusion Befehl, um der Ausschlussliste einen Rollen-ARN hinzuzufügen:


aws ecr create-pull-time-update-exclusion \
    --role-arn arn:aws:iam::123456789012:role/scanner-role

Der Befehl gibt den Rollen-ARN und den Erstellungszeitstempel zurück:


{
   "roleArn": "arn:aws:iam::123456789012:role/scanner-role",
   "createdAt": 1745531331.0
}

Um einen Ausschluss für Pull-Time-Updates zu löschen

Verwenden Sie den delete-pull-time-update-exclusion Befehl, um einen Rollen-ARN aus der Ausschlussliste zu entfernen:
```
aws ecr delete-pull-time-update-exclusion \
    --role-arn arn:aws:iam::123456789012:role/scanner-role
```
Der Befehl gibt den Rollen-ARN zurück, der gelöscht wurde:
```
{
  "roleArn": "arn:aws:iam::123456789012:role/scanner-role"
}
```

Um Ausschlüsse für Pull-Time-Updates aufzulisten

Verwenden Sie den list-pull-time-update-exclusions Befehl, um alle Rollen ARNs in der Ausschlussliste aufzulisten:
```
aws ecr list-pull-time-update-exclusions
```
Wenn keine Ausnahmen konfiguriert sind, gibt der Befehl eine leere Liste zurück:
```
{
   "pullTimeUpdateExclusions": []
}
```
Wenn Ausschlüsse konfiguriert sind, gibt der Befehl die Rollenliste zurück: ARNs
```
{
   "pullTimeUpdateExclusions": [
        "arn:aws:iam::123456789012:role/security-role"
    ]
}
```

Verwenden Sie die Parameter --max-results und--next-token, um die Ergebnisse zu paginieren:


aws ecr list-pull-time-update-exclusions \
    --max-results 4

Der Befehl gibt bis zur angegebenen Anzahl von Ergebnissen zurück und gibt an, nextToken ob mehr Ergebnisse verfügbar sind:


{
   "pullTimeUpdateExclusions": [
        "arn:aws:iam::123456789012:role/security-role1",
        "arn:aws:iam::123456789012:role/security-role2",
        "arn:aws:iam::123456789012:role/security-role3",
        "arn:aws:iam::123456789012:role/security-role4"
    ],
    "nextToken": "ukD72mdD/mC8b5xV3susmJzzaTgp3hKwR9nRUW1yZZ79..."
}

Um die nächste Ergebnisseite abzurufen, verwenden Sie die nextToken aus der vorherigen Antwort:


aws ecr list-pull-time-update-exclusions \
    --max-results 4 \
    --next-token ukD72mdD/mC8b5xV3susmJzzaTgp3hKwR9nRUW1yZZ79...

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ausschlüsse für Pull-Time-Updates

Überlegungen zu Ausnahmen von Pull-Time-Updates