Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwendung von dienstgebundenen Rollen für Amazon ECR
<a name="using-service-linked-roles"></a>

Amazon Elastic Container Registry (Amazon ECR) verwendet AWS Identity and Access Management (IAM) [service-verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role), um die Berechtigungen bereitzustellen, die für die Nutzung der Replikations- und Pull-Through-Cache-Funktionen erforderlich sind. Eine servicegebundene Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon ECR verknüpft ist. Die serviceverknüpfte Rolle ist von Amazon ECR vordefiniert. Es enthält alle Berechtigungen, die der Service zur Unterstützung der Replikation und Pull-Through-Cache-Features für Ihre private Registrierung benötigt. Nachdem Sie die Replikation oder den Pull-Through-Cache für Ihre Registrierung konfiguriert haben, wird automatisch eine serviceverknüpfte Rolle in Ihrem Namen erstellt. Weitere Informationen finden Sie unter [Private Registrierungseinstellungen in Amazon ECR](registry-settings.md).

Eine servicegebundene Rolle erleichtert das Einrichten der Replikation und des Pull-Through-Cache mit Amazon ECR. Das liegt daran, dass Sie bei Verwendung dieser Rolle nicht alle erforderlichen Berechtigungen manuell hinzufügen müssen. Amazon ECR definiert die Berechtigungen seiner mit dem Service verbundenen Rollen, und sofern nicht anders definiert, kann nur Amazon ECR seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann mit keiner anderen IAM-Entität verknüpft werden.

Sie können die entsprechende serviceverknüpfte Rolle erst löschen, nachdem Sie entweder die Replikation oder den Pull-Through-Cache in Ihrer Registrierung deaktiviert haben.aben. Dies stellt sicher, dass Sie die Berechtigungen, die Amazon ECR für diese Features benötigt, nicht versehentlich entfernen.

Informationen über andere Dienste, die dienstgebundene Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM arbeiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie auf dieser verknüpften Seite nach den Diensten, die in der Spalte **Dienstverknüpfte Rolle** den Wert **Ja ** haben. Wählen Sie ein **Ja** mit einem Link, um die entsprechende dienstbezogene Rollendokumentation für diesen Dienst anzuzeigen.

**Topics**
+ [Unterstützte Regionen für Amazon ECR-Service-verknüpfte Rollen](#slr-regions)
+ [Serviceverknüpfte Amazon-ECR-Rolle für die Replikation](slr-replication.md)
+ [Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache](slr-pullthroughcache.md)
+ [Mit dem Amazon ECR Service verknüpfte Rolle für Vorlagen zur Repository-Erstellung](slr-rct.md)

## Unterstützte Regionen für Amazon ECR-Service-verknüpfte Rollen
<a name="slr-regions"></a>

Amazon ECR unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Amazon-ECR-Service verfügbar ist. Weitere Informationen zur Verfügbarkeit der Amazon-ECR-Region finden Sie unter [AWS -Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Serviceverknüpfte Amazon-ECR-Rolle für die Replikation
<a name="slr-replication"></a>

Amazon ECR verwendet eine serviceverknüpfte Rolle mit dem Namen **AWSServiceRoleForECRReplication**, die es Amazon ECR ermöglicht, Bilder über mehrere Konten hinweg zu replizieren.

## Service-gebundene Rollenberechtigungen für Amazon ECR
<a name="slr-permissions"></a>

Die AWSService RoleFor ECRReplication serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `replication.ecr.amazonaws.com`

Die folgende `ECRReplicationServiceRolePolicy` Richtlinie für Rollenberechtigungen erlaubt Amazon ECR, die folgenden Aktionen auf Ressourcen anzuwenden:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**Anmerkung**  
Es `ReplicateImage` handelt sich um eine interne API, die Amazon ECR für die Replikation verwendet und die nicht direkt aufgerufen werden kann.

Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Service-Linked Role Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im * IAM-Benutzerhandbuch*.

## Erstellen einer servicegebundenen Rolle für Amazon ECR
<a name="create-slr"></a>

Sie müssen die serviceverknüpfte Amazon ECR-Rolle nicht manuell erstellen. Wenn Sie die Replikationseinstellungen für Ihre Registrierung in der AWS-Managementkonsole, der oder der AWS CLI AWS API konfigurieren, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie. 

Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie die Replikationseinstellungen für Ihre Registrierung konfigurieren, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie. 

## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
<a name="edit-slr"></a>

Amazon ECR erlaubt keine manuelle Bearbeitung der AWSService RoleFor ECRReplication serviceverknüpften Rolle. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen der serviceverknüpften Rolle für Amazon ECR
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Replikationskonfiguration für Ihre Registrierung in jeder Region entfernen, bevor Sie die dienstverknüpfte Rolle manuell löschen können.

**Anmerkung**  
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon ECR-Service die Rollen noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.

**Um Amazon ECR-Ressourcen zu löschen, die verwendet werden von AWSService RoleFor ECRReplication**

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, für die Ihre Replikationskonfiguration festgelegt ist.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.

1. Wählen Sie auf der Seite **Private Registrierung** im Abschnitt **Replikationskonfiguration** die Option **Bearbeiten**.

1. Um alle Ihre Replikationsregeln zu löschen, wählen Sie **Alle löschen**. Dieser Schritt erfordert eine Bestätigung.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRReplication**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

# Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache
<a name="slr-pullthroughcache"></a>

Amazon ECR verwendet eine serviceverknüpfte Rolle mit **AWSServiceRoleForECRPullThroughCache**dem Namen, die Amazon ECR die Erlaubnis erteilt, in Ihrem Namen Aktionen durchzuführen, um Cache-Aktionen abzuschließen. Weitere Informationen zum Pull-Through-Cache finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).

## Service-gebundene Rollenberechtigungen für Amazon ECR
<a name="slr-pullthroughcache-permissions"></a>

Die **AWSServiceRoleForECRPullThroughCache**serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt.
+ `pullthroughcache.ecr.amazonaws.com`

**Details zu Berechtigungen**

Die Berechtigungsrichtlinie `AWSECRPullThroughCache_ServiceRolePolicy` ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie gewährt Amazon ECR die Erlaubnis, die folgenden Aktionen durchzuführen. Weitere Informationen finden Sie unter [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`— Ermöglicht dem Amazon ECR-Service, Bilder abzurufen und in ein privates Repository zu übertragen.
+ `secretsmanager:GetSecretValue`— Ermöglicht dem Amazon ECR-Service, den verschlüsselten Inhalt eines AWS Secrets Manager Geheimnisses abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung in Ihrer privaten Registry erforderlich ist. Diese Berechtigung gilt nur für Secrets mit dem Namenspräfix `ecr-pullthroughcache/`.

Die `AWSECRPullThroughCache_ServiceRolePolicy`-Richtlinie enthält das folgende JSON.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:BatchGetImage",
                "ecr:BatchImportUpstreamImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetImageCopyStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
```

------

Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer servicegebundenen Rolle für Amazon ECR
<a name="slr-pullthroughcache-create"></a>

Sie müssen die serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache nicht manuell erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung in der AWS-Managementkonsole AWS CLI, der oder der AWS API erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie. 

Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie, falls sie noch nicht vorhanden ist.

## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
<a name="slr-pullthroughcache-edit"></a>

Amazon ECR erlaubt keine manuelle Bearbeitung der **AWSServiceRoleForECRPullThroughCache**serviceverknüpften Rolle. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen der serviceverknüpften Rolle für Amazon ECR
<a name="slr-pullthroughcache-delete"></a>

Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Pull-Through-Cache-Regeln für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.

**Anmerkung**  
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon-ECR-Service die Rolle noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.

**So löschen Sie die durch die serviceverknüpfte Rolle **AWSServiceRoleForECRPullThroughCache** verwendeten Amazon-ECR-Ressourcen**

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie auf der Navigationsleiste die Region aus, in der Ihre Pull-Through-Cache-Regeln erstellt werden.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.

1. Wählen Sie auf der Seite **Private Registry** im Abschnitt **Pull-Through-Cache-Konfiguration** die Option **Bearbeiten** aus.

1. Wählen Sie für jede von Ihnen erstellte Pull-Through-Cache-Regel die Regel aus und wählen Sie dann **Regel löschen**.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRPullThroughCache**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

# Mit dem Amazon ECR Service verknüpfte Rolle für Vorlagen zur Repository-Erstellung
<a name="slr-rct"></a>

Amazon ECR verwendet eine servicebezogene Rolle mit dem Namen **AWSServiceRoleForECRTemplate**, die Amazon ECR die Erlaubnis erteilt, in Ihrem Namen Aktionen durchzuführen, um Aktionen zur Erstellung von Repository-Vorlagen abzuschließen.

## Service-gebundene Rollenberechtigungen für Amazon ECR
<a name="slr-rct-permissions"></a>

Die **AWSServiceRoleForECRTemplate**serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt.
+ `ecr.amazonaws.com`

**Details zu Berechtigungen**

Die Berechtigungsrichtlinie ``ECRTemplateServiceRolePolicy`` ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie erteilt Amazon ECR die Erlaubnis, Repository-Erstellungsaktionen in Ihrem Namen durchzuführen.

Die `ECRTemplateServiceRolePolicy`-Richtlinie enthält das folgende JSON.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
	    "Sid": "CreateRepositoryWithTemplate",
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer servicegebundenen Rolle für Amazon ECR
<a name="slr-rct-create"></a>

Sie müssen die mit dem Amazon ECR Service verknüpfte Rolle für die Repository-Erstellungsvorlage nicht manuell erstellen. Wenn Sie eine Vorlagenregel für die Repository-Erstellung für Ihre private Registrierung in der AWS-Managementkonsole AWS CLI, der oder der AWS API erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie. 

Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Regel zur Erstellung eines Repositorys für Ihre private Registrierung erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie, sofern sie noch nicht vorhanden ist.

## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
<a name="slr-rct-edit"></a>

Amazon ECR erlaubt keine manuelle Bearbeitung der **AWSServiceRoleForECRTemplate**serviceverknüpften Rolle. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen der serviceverknüpften Rolle für Amazon ECR
<a name="slr-rct-delete"></a>

Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Regeln für die Erstellung von Repositorys für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.

**Anmerkung**  
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon-ECR-Service die Rolle noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.

**So löschen Sie die durch die serviceverknüpfte Rolle **AWSServiceRoleForECRTemplate** verwendeten Amazon-ECR-Ressourcen**

1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).

1. Wählen Sie in der Navigationsleiste die Region aus, in der Ihre Repository-Erstellungsregeln erstellt werden.

1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.

1. Wählen Sie auf der Seite **Private Registry** im Abschnitt **Vorlagen für die Repository-Erstellung** die Option **Bearbeiten** aus.

1. Wählen Sie für jede Regel zur Erstellung eines Repositorys, die Sie erstellt haben, die Regel aus und klicken Sie dann auf **Regel löschen**.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRTemplate**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.