Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar los permisos de ECR entre cuentas a ECR PTC
La función de caché de extracción de Amazon ECR a Amazon ECR (ECR a ECR) permite la sincronización automática de imágenes entre regiones, AWS cuentas o ambas. Con ECR a ECR PTC, puede insertar imágenes en el registro principal de Amazon ECR y configurar una regla de caché de extracción para almacenar en caché las imágenes en los registros descendentes de Amazon ECR.
## Las políticas de IAM son obligatorias para transferir el caché de extracción de ECR a ECR entre cuentas
Para almacenar en caché imágenes entre los registros de Amazon ECR de diferentes AWS cuentas, cree un rol de IAM en la cuenta descendente y configure las políticas de esta sección para proporcionar los siguientes permisos:
+ Amazon ECR necesita permisos para extraer imágenes del registro ascendente de Amazon ECR en su nombre. Puede otorgar estos permisos al crear un rol de IAM y luego especificarlo en la regla de caché de extracción.
+ El propietario del registro ascendente también debe otorgar al propietario del registro de caché los permisos necesarios para insertar imágenes en las políticas de recursos.
**Topics**
+ [Crear un rol de IAM para definir los permisos de caché de extracción](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [Crear una política de confianza para el rol de IAM](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [Crear una política de recursos en el registro ascendente de Amazon ECR](#ecr-creating-registry-permissions-policy-in-upstream-registry)
### Crear un rol de IAM para definir los permisos de caché de extracción
El siguiente ejemplo muestra una política de permisos que otorga a un rol de IAM permiso para extraer imágenes del registro ascendente de Amazon ECR en su nombre. Cuando Amazon ECR asume el rol, recibe los permisos especificados en esta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"ecr:BatchImportUpstreamImage",
"ecr:BatchGetImage",
"ecr:GetImageCopyStatus",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource": "*"
}
]
}
```
------
### Crear una política de confianza para el rol de IAM
El siguiente ejemplo muestra una política de confianza que identifica a Amazon ECR pull through cache como el principal de AWS servicio que puede asumir la función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pullthroughcache.ecr.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Crear una política de recursos en el registro ascendente de Amazon ECR
El propietario del registro ascendente de Amazon ECR también debe agregar una política de registro o una política de repositorio para otorgarle al propietario del registro descendente los permisos necesarios para realizar las siguientes acciones.
**nota**
La siguiente política de recursos solo es necesaria para las configuraciones de **caché de extracción de ECR a ECR entre cuentas**. Para la memoria caché **de extracción entre regiones y cuentas de la misma** cuenta, solo necesita la política de funciones de IAM y la política de confianza que se muestran en las secciones anteriores. El permiso principal de la cuenta raíz no es necesario cuando los registros ascendentes y descendentes están en la misma cuenta. AWS
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchImportUpstreamImage",
"ecr:GetImageCopyStatus"
],
"Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```