Replicación de imágenes privadas en Amazon ECR - Amazon ECR
Requisitos de la política de replicaciónConsideraciones sobre la replicación de imágenes privadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replicación de imágenes privadas en Amazon ECR

Puede configurar el registro privado de Amazon ECR para que admita la replicación de los repositorios. Amazon ECR admite la replicación entre regiones y entre cuentas. Para que se produzca la replicación entre cuentas, la cuenta de destino debe configurar una política de permisos de registro con objeto de permitir que se produzca la replicación desde el registro de origen. Para obtener más información, consulte Permisos de registro privado en Amazon ECR.

Temas

Requisitos de la política de replicación multicuenta

Para que la replicación de ECR entre cuentas funcione correctamente, debe comprender qué cuenta necesita configurar qué políticas. En esta sección se explican los requisitos de la política tanto para las cuentas de origen como para las de destino.

Descripción general de la configuración de políticas

La replicación de ECR entre cuentas requiere la configuración de políticas únicamente en la cuenta de destino. La cuenta de origen no requiere ningún repositorio o política de registro especial.

  • Cuenta de origen: configure las reglas de replicación en la configuración del registro. No se requieren políticas adicionales en los repositorios de origen.

  • Cuenta de destino: configure una política de permisos de registro para permitir que la cuenta de origen replique imágenes.

Requisitos de la política de registro de destino

La cuenta de destino debe configurar una política de permisos de registro que conceda permiso a la cuenta de origen para realizar las siguientes acciones:

  • ecr:ReplicateImage- Permite a la cuenta de origen replicar imágenes en el registro de destino

  • ecr:CreateRepository- Permite a ECR crear automáticamente repositorios en el registro de destino si aún no existen

importante

Si no concede el ecr:CreateRepository permiso, debe crear manualmente los repositorios con los mismos nombres en la cuenta de destino para que la replicación se realice correctamente.

Ejemplo de política de registro de destino:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCrossAccountReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:root"
            },
            "Action": [
                "ecr:ReplicateImage",
                "ecr:CreateRepository"
            ]
        }
    ]
}

Requisitos de cuenta de origen

La cuenta de origen solo necesita:

  • Configure las reglas de replicación en la configuración del registro para especificar la cuenta y las regiones de destino

  • Asegúrese de que el principal de IAM que configura la replicación tenga los permisos de ECR necesarios

No se requieren políticas adicionales en los repositorios de origen. Los repositorios de origen no necesitan políticas de repositorio que concedan permisos de replicación.

Conceptos erróneos comunes

Los siguientes son conceptos erróneos comunes acerca de las políticas de replicación multicuenta de ECR:

  • Concepto erróneo: el repositorio de origen necesita una política que permita a la cuenta de destino replicar imágenes.

    Realidad: Los repositorios de origen no necesitan políticas especiales para la replicación.

  • Concepto erróneo: tanto las cuentas de origen como las de destino necesitan políticas de registro.

    Realidad: Solo la cuenta de destino necesita una política de permisos de registro.

  • Concepto erróneo: las políticas de repositorio y las políticas de registro son lo mismo.

    Realidad: las políticas de repositorio controlan el acceso a los repositorios individuales, mientras que las políticas de registro controlan las operaciones a nivel de registro, como la replicación.

Solución de problemas de replicación

Si se produce un error en la replicación entre cuentas, compruebe lo siguiente:

  • Compruebe que la cuenta de destino tenga configurada una política de permisos de registro

  • Asegúrese de que la política de registro incluya ambas ecr:ReplicateImage ecr:CreateRepository acciones

  • Confirme que el ID de la cuenta de origen esté correctamente especificado en la política de registro de destino

  • Compruebe que los repositorios de destino existan (si no ecr:CreateRepository están concedidos)

  • Revise CloudTrail los registros para ver si hay llamadas fallidas CreateRepository o a ReplicateImage la API

Consideraciones sobre la replicación de imágenes privadas

Al utilizar la replicación de imágenes privadas, se debe tener en cuenta lo siguiente.

  • Solo se replica el contenido del repositorio insertado en un repositorio una vez configurada la replicación. El contenido preexistente en un repositorio no se replica. Una vez configurada la replicación para un repositorio, Amazon ECR mantiene sincronizados el destino y el origen.

  • El nombre del repositorio seguirá siendo el mismo en todas las regiones y cuentas cuando se produzca la replicación. Amazon ECR no admite el cambio del nombre del repositorio durante la replicación.

  • La primera vez que se configura el registro privado para la replicación, Amazon ECR crea un rol de IAM vinculado a servicios en su nombre. El rol de IAM vinculado a servicios otorga al servicio de replicación de Amazon ECR el permiso necesario para crear repositorios y replicar imágenes en el registro. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon ECR.

  • Para que se produzca la replicación entre cuentas, el destino del registro privado debe conceder permiso con objeto de permitir que el registro de origen replique sus imágenes. Para ello, se establece una política de permisos de registro privado. Para obtener más información, consulte Permisos de registro privado en Amazon ECR.

  • Si se cambia la política de permisos de un registro privado para quitar un permiso, se pueden completar las replicaciones en curso concedidas anteriormente.

  • Para que se produzca la replicación entre regiones, tanto la cuenta de origen como la de destino deben estar habilitadas en la región antes de que se lleve a cabo cualquier acción de replicación dentro o hacia esa región. Para obtener más información, consulte Administración de las regiones de AWS en la Referencia general de Amazon Web Services.

  • No se admite la replicación entre regiones entre AWS particiones. Por ejemplo, no se puede replicar un repositorio us-west-2 en cn-north-1. Para obtener más información sobre AWS las particiones, consulte el formato ARN en la Referencia AWS general.

  • La configuración de replicación de un registro privado puede contener hasta 25 destinos únicos en todas las reglas, con un máximo de 10 reglas. Cada regla puede contener hasta 100 filtros. Esto permite especificar reglas independientes para repositorios que contienen imágenes utilizadas para la producción y las pruebas, por ejemplo.

  • La configuración de replicación admite el filtrado de los repositorios de un registro privado que se replican especificando un prefijo de repositorio. Para ver un ejemplo, consulta Ejemplo: Configurar la replicación entre regiones mediante un filtro de repositorio.

  • Una acción de replicación solo se produce una vez por cada inserción de imagen. Por ejemplo, si ha configurado la replicación entre regiones desde us-west-2 hasta us-east-1 y de us-east-1 hasta us-east-2, una imagen insertada en us-west-2 se replicará solo en us-east-1, y no se replicará de nuevo en us-east-2. Este comportamiento se aplica a la replicación entre regiones y entre cuentas.

  • La mayoría de las imágenes se replican en menos de 30 minutos, pero en casos excepcionales la replicación puede tardar más.

  • La replicación del registro no realiza ninguna acción de eliminación. Las imágenes y repositorios replicados se pueden eliminar manualmente cuando ya no los utilice.

  • Las políticas de repositorio, incluidas las políticas de IAM, así como las políticas de ciclo de vida, no se replican ni tienen ningún efecto en otro repositorio que no sea para el que están definidas.

  • La configuración del repositorio no se replica de forma predeterminada; puede replicarla mediante plantillas de creación de repositorios. Estos ajustes incluyen la mutabilidad de las etiquetas, el cifrado, los permisos de los repositorios y las políticas de ciclo de vida. Para obtener más información sobre las plantillas de creación de repositorios, consultePlantillas para controlar los repositorios creados durante una acción de extracción, caché o replicación.

  • Si la inmutabilidad de etiquetas está habilitada en un repositorio y se replica una imagen que utiliza la misma etiqueta que una existente, la imagen se replica pero no incluirá la etiqueta duplicada. Esto podría provocar que la imagen se quedara sin etiquetar.