Realizar solicitudes a los registros de Amazon ECR - Amazon ECR
Empezando con IPv6Probar la compatibilidad de dirección IPRealizar solicitudes con puntos de enlace de doble pilaUso de puntos de enlace de Amazon ECR desde la CLI de dockerUso de IPv6 direcciones en las políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Realizar solicitudes a los registros de Amazon ECR

Puede insertar, extraer, eliminar, ver y administrar imágenes de OCI, imágenes de Docker y artefactos compatibles con OCI en los registros privados de Amazon ECR mediante puntos de enlace IPv4 exclusivos o puntos de enlace de doble pila (y). IPv4 IPv6 Para realizar solicitudes desde redes, puede utilizar una pila doble o puntos de enlace IPv4 . IPv4 Para realizar solicitudes desde una IPv6 red, utilice un punto final de doble pila. Para obtener más información sobre cómo realizar solicitudes a los registros públicos de Amazon ECR mediante IPv4 puntos de enlace de doble pila, consulte Realizar solicitudes a registros públicos de Amazon ECR. El acceso a Amazon ECR a través IPv6 de Amazon ECR no conlleva cargos adicionales. Para obtener más información sobre los precios, consulte los precios de Amazon Elastic Container Registry.

nota

Amazon ECR no admite el AWS PrivateLink tráfico a través de puntos de enlace de doble pila. Si necesita asistencia, debe utilizar IPv4 únicamente puntos de enlace de Amazon ECR. AWS PrivateLink

Los puntos de enlace de Amazon ECR se designan mediante atributos que van más allá de la compatibilidad con puntos IPv4 de enlace exclusivos o de doble pila. Estos atributos pueden incluir:

  • Región: cada punto final es específico de una región.

  • Tipo: la selección del punto final depende de si utiliza el AWS SDK o las interfaces de línea de comandos de Docker o compatibles con OCI.

  • Seguridad: en determinadas regiones, Amazon ECR ofrece puntos de enlace compatibles con FIPS. Para obtener más información sobre una lista de puntos de enlace Amazon ECR que cumplen con FIPS, consulte la Norma Federal de Procesamiento de Información (FIPS) 140-3.

Para obtener más información sobre los puntos de enlace de servicio compatibles IPv4 con el cliente de doble pila, Docker y OCI, que gestiona las llamadas a la API de Amazon ECR desde la AWS CLI, y AWS SDKs consulte Puntos de enlace de servicio.

Cómo empezar a realizar solicitudes IPv6

Para realizar una solicitud a un registro de Amazon ECR IPv6, debe utilizar un punto de conexión de doble pila. Antes de acceder a un registro de Amazon ECR IPv6, compruebe los siguientes requisitos:

  • Su cliente y su red deben ser compatibles IPv6.

  • Amazon ECR admite los siguientes tipos de solicitudes: IPv6

    • Solicitudes de clientes de OCI y Docker:

      <registry-id>.dkr-ecr.<aws-region>.on.aws

    • AWS Solicitudes de API:

      ecr.<aws-region>.api.aws

  • Debe actualizar todas las políticas AWS Identity and Access Management (de IAM) o de registro que utilicen el filtrado de direcciones IP de origen para incluir los intervalos de IPv6 direcciones. Para obtener más información, consulte Uso de IPv6 direcciones en las políticas de IAM.

  • Cuando lo usa IPv6, los registros de acceso al servidor muestran Remote IP las direcciones en IPv6 formato. Actualice las herramientas, los scripts y el software existentes para analizar estas direcciones IP IPv6 con formato.

    nota

    Si tiene problemas relacionados con la presencia de IPv6 direcciones en los archivos de registro, póngase en contacto con nosotros. AWS Support

Probar la compatibilidad de dirección IP

Si utiliza Linux/Unix o Mac OS X, puede comprobar si puede acceder a un punto final de doble pila IPv6 mediante el curl comando que se muestra en el siguiente ejemplo:

curl --verbose https://ecr.us-west-2.api.aws

Usted obtiene información similar a la del siguiente ejemplo. Si está conectado a través de IPv6 la dirección IP conectada, será una dirección. IPv6 

* About to connect() to ecr.us-west-2.api.aws port 443 (#0)
* Trying IPv6 address... connected
* Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0)
> Host: ecr.us-west-2.api.aws
* Request completely sent off

Si utiliza Microsoft Windows 7 o Windows 10, puede probar si puede acceder a un punto final de doble pila a través IPv4 o IPv6 mediante el ping comando que se muestra en el siguiente ejemplo.

ping ecr.us-west-2.api.aws

Realización de solicitudes IPv6 mediante puntos de enlace de doble pila

Puede realizar llamadas a la API Amazon ECR IPv6 mediante puntos de enlace de doble pila. La funcionalidad y el rendimiento de las operaciones de la API de Amazon ECR se mantienen uniformes independientemente de si utiliza IPv4 o IPv6.

Cuando usa AWS Command Line Interface (AWS CLI) y AWS SDKs, puede habilitarlo IPv6 mediante un parámetro o indicador para cambiar a un punto final de doble pila, o especificando directamente el punto final de doble pila en su archivo de configuración para anular el punto de enlace predeterminado de Amazon ECR. También puede realizar cambios en la configuración mediante un comando, que se establece en true en use_dualstack_endpoint el perfil predeterminado. Para obtener más informaciónuse_dualstack_endpoint, consulte los puntos finales FIPS y de doble pila.

ejemplo Realizar cambios de configuración mediante un comando

aws configure set default.ecr.use_dualstack_endpoint true

ejemplo Hacer solicitudes en lugar de IPv6 usar AWS CLI

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Uso de puntos de enlace de Amazon ECR desde la CLI de docker

Tras iniciar sesión en el repositorio de Amazon ECR y etiquetar la imagen, puede insertar y extraer imágenes de OCI e imágenes de Docker a los registros de Amazon ECR y extraerlos de ellos. Los siguientes ejemplos muestran los comandos docker push y docker pull con ambos puntos finales de doble pila.

ejemplo Empujar imágenes de docker mediante un punto final IPv4

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

ejemplo Empujar imágenes de docker mediante un punto final de doble pila

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

ejemplo Extracción de imágenes de docker mediante un punto final IPv4

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

ejemplo Extracción de imágenes de docker mediante un punto final de doble pila

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Uso de IPv6 direcciones en las políticas de IAM

Antes de acceder a un registro mediante IPv6, asegúrese de que su usuario de IAM y las políticas de registro de Amazon ECR que utilizan el filtrado de direcciones IP incluyan intervalos de IPv6 direcciones. Si las políticas de filtrado de direcciones IP no se actualizan para gestionar IPv6 las direcciones, es posible que los clientes pierdan u obtengan acceso al registro de forma incorrecta al empezar a usarlo. IPv6 Para obtener más información acerca de cómo administrar los permisos de acceso con IAM, consulte Identity and Access Management para Amazon Elastic Container Registry.

Las políticas de IAM que filtran direcciones IP utilizan operadores de condición de dirección IP. El siguiente ejemplo de política de registro muestra cómo identificar el 54.240.143.* rango de IPv4 direcciones permitidas mediante operadores de condición de direcciones IP. A las direcciones IP que se encuentren fuera de este rango se les deniega el acceso al registro (exampleregistry). Como todas IPv6 las direcciones están fuera del rango permitido, esta política impide el acceso de IPv6 las direccionesexampleregistry.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "ecr:*",
      "Resource": "arn:aws:ecr:::exampleregistry/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Para permitir los rangos de direcciones IPv4 (54.240.143.0/24) y IPv6 (2001:DB8:1234:5678::/64), modifique el elemento Condition de la política de registro como se muestra en el siguiente ejemplo. Puede utilizar este formato de Condition bloque para actualizar las políticas de registro y de usuario de IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }
importante

Antes de usarlo IPv6 , debe actualizar todas las políticas de registro y usuario de IAM pertinentes que utilizan el filtrado de direcciones IP. No recomendamos utilizar el filtrado de direcciones IP en las políticas de registro.

Puede revisar sus políticas de usuario de IAM en la consola de IAM en. https://console.aws.amazon.com/iam/ Para obtener más información acerca de IAM, consulte la guía del usuario de IAM.