Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos de IAM necesarios para sincronizar un registro principal con un registro privado de Amazon ECR
Además de los permisos de la API de Amazon ECR necesarios para autenticarse en un registro privado y para insertar y extraer imágenes, se necesitan los siguientes permisos adicionales para utilizar reglas de caché de extracción.
+ `ecr:CreatePullThroughCacheRule`: otorga permiso para crear una regla de caché de extracción. Este permiso debe otorgarse a través de una política de IAM basada en identidad.
+ `ecr:BatchImportUpstreamImage`: otorga permiso para recuperar la imagen externa e importarla a su registro privado. Este permiso se puede otorgar utilizando la política de permisos de registro privado, una política de IAM basada en identidad o mediante la política de permisos de repositorio basada en recursos. Para obtener más información sobre el uso de permisos de repositorio, consulte [Políticas de repositorios privados en Amazon ECR](repository-policies.md).
+ `ecr:CreateRepository`: otorga permiso para crear un repositorio en un registro privado. Este permiso es necesario si el repositorio donde se conservan las imágenes almacenadas en caché no existe todavía. Este permiso se puede otorgar mediante una política de IAM basada en identidad o bien mediante la política de permisos de registro privado.
## Uso de permisos de registro
Los permisos de registro privado de Amazon ECR se pueden utilizar para abarcar los permisos de entidades de IAM individuales a fin de utilizar caché de extracción. Si una entidad de IAM tiene más permisos otorgados por una política de IAM de los que la política de permisos de registro concede, prevalece la política de IAM. Por ejemplo, si un usuario tiene concedidos permisos de `ecr:*`, no se necesitan permisos adicionales en el nivel del registro.
### Para crear una política de permisos de registro privado (Consola de administración de AWS):
1. Abra la consola Amazon ECR en [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. En la barra de navegación, elija la región en la que configurar su declaración de permisos de registro privado.
1. En el panel de navegación, elija **Private registry** (Registro privado), **Registry permissions** (Permisos de registro).
1. En la página **Registry permissions** (Permisos de registro), elija **Generate statement** (Generar declaración) .
1. Para cada declaración de política de permisos de caché de extracción que desee crear, haga lo siguiente.
1. Para **Policy type** (Tipo de política), elija **Pull through cache policy** (Política de caché de extracción).
1. Para **Statement id** (ID de declaración), proporcione un nombre para la política de declaración de caché de extracción.
1. Para **AM entities** (Entidades de IAM), especifique los usuarios, grupos o roles que se deben incluir en la política.
1. Para **Repository namespace** (Espacio de nombres de repositorio), seleccione la regla de caché de extracción a la que asociar la política.
1. Para **Repository names** (Nombres de repositorio), especifique el nombre base del repositorio para el que se va a aplicar la regla. Por ejemplo, si desea especificar el repositorio de Amazon Linux en Amazon ECR Public, el nombre del repositorio sería `amazonlinux`.
### Para crear una política de permisos de registro privado (AWS CLI):
Utilice el siguiente AWS CLI comando para especificar los permisos de registro privado mediante el AWS CLI.
1. Cree un archivo local denominado `ptc-registry-policy.json` con el contenido de la política de registro. En el siguiente ejemplo se concede el permiso `ecr-pull-through-cache-user` para crear un repositorio y extraer una imagen de la galería pública de Amazon ECR, que es el origen ascendente asociado a la regla de caché de extracción creada previamente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PullThroughCacheFromReadOnlyRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
},
"Action": [
"ecr:CreateRepository",
"ecr:BatchImportUpstreamImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
}
]
}
```
------
**importante**
El permiso `ecr-CreateRepository` solo es necesario si el repositorio donde se conservan las imágenes almacenadas en caché no existe todavía. Por ejemplo, si la acción de creación del repositorio y las acciones de extracción de imágenes las realizan entidades principales de IAM independientes, como un administrador y un desarrollador.
1. Utilice el [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)comando para establecer la política de registro.
```
aws ecr put-registry-policy \
--policy-text file://ptc-registry.policy.json
```
## Siguientes pasos
Una vez que esté listo para empezar a utilizar las reglas de caché de extracción, siga estos pasos.
+ Crear una regla de caché de extracción. Para obtener más información, consulte [Creación de una regla de caché de extracción en Amazon ECR](pull-through-cache-creating-rule.md).
+ Cree una plantilla de creación de repositorios. Puede utilizar una plantilla de creación de repositorios para definir la configuración que se aplicará a los repositorios creados por Amazon ECR en su nombre durante una acción de caché de extracción. Para obtener más información, consulte [Plantillas para controlar los repositorios creados durante una acción de extracción, creación mediante inserción o replicación](repository-creation-templates.md).