Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Rol vinculado a servicios de Amazon ECR para la caché de extracción
Amazon ECR utiliza un rol vinculado a un servicio denominado **AWSServiceRoleForECRPullThroughCache**que permite a Amazon ECR realizar acciones en su nombre para completar las acciones de extracción de caché. Para obtener más información acerca de la caché de extracción, consulte [Plantillas para controlar los repositorios creados durante una acción de extracción, creación mediante inserción o replicación](repository-creation-templates.md).
## Permisos de roles vinculados a servicios para Amazon ECR
El rol **AWSServiceRoleForECRPullThroughCache**vinculado al servicio confía en que el siguiente servicio asuma el rol.
+ `pullthroughcache.ecr.amazonaws.com`
**Detalles de los permisos**
La política de permisos `AWSECRPullThroughCache_ServiceRolePolicy` se adjunta al rol vinculado al servicio. Esta política administrada otorga a Amazon ECR permiso para realizar las siguientes acciones. Para obtener más información, consulte [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`: permite que el servicio Amazon ECR inserte y extraiga imágenes a un repositorio privado.
+ `secretsmanager:GetSecretValue`— Permite que el servicio Amazon ECR recupere el contenido cifrado de un AWS Secrets Manager secreto. Esto es necesario cuando se utiliza una regla de caché de extracción para almacenar en caché las imágenes de un registro anterior que requiere autenticación en un registro privado. Este permiso solo se aplica a los secretos con el prefijo de nombre `ecr-pullthroughcache/`.
La política `AWSECRPullThroughCache_ServiceRolePolicy` contiene los siguientes JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage",
"ecr:BatchGetImage",
"ecr:BatchImportUpstreamImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetImageCopyStatus"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como, por ejemplo, un usuario, grupo o rol) crear, editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a un servicio para Amazon ECR
No es necesario crear manualmente el rol vinculado a servicios de Amazon ECR para la extracción de caché. Cuando crea una regla de extracción de caché para su registro privado en la Consola de administración de AWS, la AWS CLI o la AWS API, Amazon ECR crea automáticamente la función vinculada al servicio.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una regla de caché de extracción para su registro privado, Amazon ECR crea el rol vinculado a servicios nuevamente para usted si aún no existe.
## Edición de un rol vinculado a un servicio para Amazon ECR
Amazon ECR no permite editar manualmente el rol vinculado al **AWSServiceRoleForECRPullThroughCache**servicio. Una vez creado el rol vinculado a servicios, no puede cambiar el nombre del rol porque varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a un servicio para Amazon ECR
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. No obstante, debe eliminar las reglas de caché de extracción para su registro en cada región antes de poder eliminar manualmente el rol vinculado a servicios.
**nota**
Si intenta eliminar recursos mientras el servicio Amazon ECR sigue utilizando el rol, es posible que la acción de eliminación falle. Si eso sucede, espere unos minutos e inténtelo de nuevo.
**Para eliminar los recursos de Amazon ECR utilizados por el rol vinculado a servicios **AWSServiceRoleForECRPullThroughCache**:**
1. Abra la consola Amazon ECR en [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. En la barra de navegación, elija la región donde se crean las reglas de caché de extracción.
1. En el panel de navegación, elija **Private registry (Registro privado)**.
1. En la página **Private registry** (Registro privado), en la sección **Pull through cache configuration** (Configuración de la caché de extracción), elija **Edit** (Editar).
1. Para cada regla de caché de extracción que haya creado, seleccione la regla y, a continuación, elija **Delete rule** (Eliminar regla).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al **AWSServiceRoleForECRPullThroughCache**servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.