Se requieren políticas de IAM para transferir la memoria caché de ECR a ECR entre cuentas

Configuración de los permisos de ECR multicuenta a ECR PTC

La función de caché de extracción de Amazon ECR a Amazon ECR (ECR a ECR) permite la sincronización automática de imágenes entre regiones, AWS cuentas o ambas. Con ECR a ECR PTC, puede insertar imágenes en su registro principal de Amazon ECR y configurar una regla de extracción de caché para almacenar en caché las imágenes en los registros de Amazon ECR descendentes.

Se requieren políticas de IAM para transferir la memoria caché de ECR a ECR entre cuentas

Para almacenar en caché imágenes entre los registros de Amazon ECR de distintas AWS cuentas, cree un rol de IAM en la cuenta descendente y configure las políticas de esta sección para proporcionar los siguientes permisos:

Amazon ECR necesita permisos para extraer imágenes del registro original de Amazon ECR en su nombre. Para conceder estos permisos, cree una función de IAM y, a continuación, la especifique en su regla de extracción de memoria caché.
El propietario del registro original también debe conceder al propietario del registro de la caché los permisos necesarios para incluir las imágenes en las políticas de recursos.

Políticas

Crear una función de IAM para definir los permisos de extracción de memoria caché
Crear una política de confianza para el rol de IAM
Creación de una política de recursos en el registro original de Amazon ECR

Crear una función de IAM para definir los permisos de extracción de memoria caché

El siguiente ejemplo muestra una política de permisos que concede a un rol de IAM permiso para extraer imágenes del registro principal de Amazon ECR en su nombre. Cuando Amazon ECR asume la función, recibe los permisos especificados en esta política.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Crear una política de confianza para el rol de IAM

El siguiente ejemplo muestra una política de confianza que identifica a Amazon ECR pull through cache como el principal de AWS servicio que puede asumir la función.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Creación de una política de recursos en el registro original de Amazon ECR

El propietario del registro principal de Amazon ECR también debe añadir una política de registro o una política de repositorio para conceder al propietario del registro descendente los permisos necesarios para realizar las siguientes acciones.


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos de IAM necesarios

Creación de una regla de caché de extracción