Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Concesión de permisos de registro para la replicación entre cuentas en Amazon ECR
El tipo de política multicuenta se utiliza para conceder permisos a una entidad AWS principal, lo que permite replicar los repositorios de un registro de origen al suyo. De forma predeterminada, tiene permiso para configurar la replicación entre regiones en su propio registro. Tan solo necesita configurar la política de registro si concede permiso a otra cuenta para replicar contenido en el registro.
Una política de registro debe conceder permiso para la acción de la API ecr:ReplicateImage
. Esta es una API de Amazon ECR interna que puede replicar imágenes entre Regiones o cuentas. También puede concederlo para el permiso ecr:CreateRepository
, que permite a Amazon ECR crear repositorios en el registro si aún no existen. Si no se proporciona el permiso de ecr:CreateRepository
, en el registro se debe crear manualmente un repositorio con el mismo nombre que el de origen. Si no se hace nada de esto, la replicación fallará. Todas las acciones fallidas CreateRepository
o de la ReplicateImage
API aparecen en CloudTrail.
Abra la consola Amazon ECR en https://console.aws.amazon.com/ecr/
. -
En la barra de navegación, elija la región en la que se va a configurar la política de registro.
-
En el panel de navegación, elija Registro privado, elija Características y configuración y, a continuación, elija Permisos.
-
En la página Registry permissions (Permisos de registro), elija Generate statement (Generar declaración).
-
Realice los siguientes pasos para definir la instrucción de política mediante el generador de políticas.
-
Para el tipo de política, elija Replicación: cuenta cruzada.
-
En el campo ID del estado de cuenta, introduzca un identificador de estado de cuenta único. Este campo se utiliza como
Sid
en la política de registro. -
En el caso de las cuentas, introduzca IDs la cuenta de cada cuenta a la que desee conceder permisos. Al especificar varias cuentas IDs, sepárelas con una coma.
-
-
Seleccione Save.
-
Cree un archivo denominado
registry_policy.json
y rellénelo con una política de registro.{ "Version":"2012-10-17", "Statement":[ { "Sid":"ReplicationAccessCrossAccount", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::
source_account_id
:root
" }, "Action":[ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": [ "arn:aws:ecr:us-west-2:your_account_id
:repository/*
" ] } ] } -
Cree la política de registro mediante el archivo de política.
aws ecr put-registry-policy \ --policy-text file://
registry_policy.json
\ --regionus-west-2
-
Recupere la política de registro que se va a confirmar.
aws ecr get-registry-policy \ --region
us-west-2