Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache
Amazon ECR verwendet eine serviceverknüpfte Rolle mit AWSServiceRoleForECRPullThroughCachedem Namen, die Amazon ECR die Erlaubnis erteilt, in Ihrem Namen Aktionen durchzuführen, um Cache-Aktionen abzuschließen. Weitere Informationen zum Pull-Through-Cache finden Sie unter Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache- oder Replikationsaktion erstellt wurden.
Service-gebundene Rollenberechtigungen für Amazon ECR
Die AWSServiceRoleForECRPullThroughCacheserviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt.
-
pullthroughcache.ecr.amazonaws.com
Details zu Berechtigungen
Die Berechtigungsrichtlinie AWSECRPullThroughCache_ServiceRolePolicy ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie gewährt Amazon ECR die Erlaubnis, die folgenden Aktionen durchzuführen. Weitere Informationen finden Sie unter AWSECRPullThroughCache_ServiceRolePolicy.
-
ecr— Ermöglicht dem Amazon ECR-Service, Bilder abzurufen und in ein privates Repository zu übertragen. -
secretsmanager:GetSecretValue— Ermöglicht dem Amazon ECR-Service, den verschlüsselten Inhalt eines AWS Secrets Manager Geheimnisses abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung in Ihrer privaten Registry erforderlich ist. Diese Berechtigung gilt nur für Secrets mit dem Namenspräfixecr-pullthroughcache/.
Die AWSECRPullThroughCache_ServiceRolePolicy-Richtlinie enthält das folgende JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ECR", "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage", "ecr:BatchGetImage", "ecr:BatchImportUpstreamImage", "ecr:GetDownloadUrlForLayer", "ecr:GetImageCopyStatus" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer servicegebundenen Rolle für Amazon ECR
Sie müssen die serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache nicht manuell erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung in der AWS Management Console AWS CLI, der oder der AWS API erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie, falls sie noch nicht vorhanden ist.
Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
Amazon ECR erlaubt keine manuelle Bearbeitung der AWSServiceRoleForECRPullThroughCacheserviceverknüpften Rolle. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen der serviceverknüpften Rolle für Amazon ECR
Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Pull-Through-Cache-Regeln für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
Anmerkung
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon-ECR-Service die Rolle noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
So löschen Sie die durch die serviceverknüpfte Rolle AWSServiceRoleForECRPullThroughCache verwendeten Amazon-ECR-Ressourcen
Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/
. -
Wählen Sie auf der Navigationsleiste die Region aus, in der Ihre Pull-Through-Cache-Regeln erstellt werden.
-
Wählen Sie im Navigationsbereich die Option Private Registrierung.
-
Wählen Sie auf der Seite Private Registry im Abschnitt Pull-Through-Cache-Konfiguration die Option Bearbeiten aus.
-
Wählen Sie für jede von Ihnen erstellte Pull-Through-Cache-Regel die Regel aus und wählen Sie dann Regel löschen.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForECRPullThroughCacheserviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.
