Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Envoyer des demandes aux registres Amazon ECR
Vous pouvez envoyer, extraire, supprimer, afficher et gérer des images OCI, des images Docker et des artefacts compatibles OCI dans les registres privés Amazon ECR en utilisant soit des points de terminaison IPv4 uniquement, soit des points de terminaison à double pile (et). IPv4 IPv6 Pour effectuer des demandes depuis des IPv4 réseaux, vous pouvez utiliser des endpoints ou des points de IPv4 terminaison. Pour effectuer des demandes depuis un IPv6 réseau, utilisez un point de terminaison à double pile. Pour plus d'informations sur l'envoi de demandes aux registres publics Amazon ECR à l'aide IPv4 de points de terminaison à double pile, consultez la section Faire des demandes aux registres publics Amazon ECR. L'accès à Amazon ECR via IPv6 Amazon est gratuit. Pour plus d'informations sur les tarifs, consultez les tarifs d'Amazon Elastic Container Registry
Note
Amazon ECR ne prend pas en charge le AWS PrivateLink trafic via des points de terminaison à double pile. Vous devez utiliser IPv4 uniquement les points de terminaison Amazon ECR si vous avez besoin d'assistance. AWS PrivateLink
Les points de terminaison Amazon ECR sont désignés par des attributs autres que la prise en charge des points de IPv4 terminaison uniquement ou des points de terminaison à double pile. Ces attributs peuvent inclure :
-
Région — Chaque point de terminaison est spécifique à une région.
-
Type — La sélection du point de terminaison varie selon que vous utilisez le AWS SDK ou des interfaces de ligne de commande Docker compatibles avec l'OCI-Compatible.
-
Sécurité — Dans certaines régions, Amazon ECR propose des points de terminaison conformes à la norme FIPS. Pour plus d'informations sur la liste des points de terminaison Amazon ECR conformes à la norme FIPS, consultez le Federal Information Processing Standard
(FIPS) 140-3.
Commencer à faire des demandes IPv6
Pour envoyer une demande à un registre Amazon ECR via IPv6, vous devez utiliser un point de terminaison à double pile. Avant d'accéder à un registre Amazon ECR IPv6, vérifiez les conditions suivantes :
-
Votre client et votre réseau doivent vous aider IPv6.
-
Amazon ECR prend en charge les types de demandes suivants : IPv6
-
Demandes des clients OCI et Docker :
<registry-id>
.dkr-ecr.<aws-region>
.on.aws -
AWS Demandes d'API :
ecr.
<aws-region>
.api.aws
-
-
Vous devez mettre à jour toutes les politiques AWS Identity and Access Management (IAM) ou de registre qui utilisent le filtrage des adresses IP source pour inclure des plages d' IPv6 adresses. Pour de plus amples informations, veuillez consulter Utilisation des IPv6 adresses dans les politiques IAM.
-
Lorsque vous l'utilisez IPv6, les journaux d'accès au serveur affichent
Remote IP
les adresses au IPv6 format. Mettez à jour vos outils, scripts et logiciels existants pour analyser ces adresses IP IPv6 formatées.Note
Si vous rencontrez des problèmes liés à la présence d' IPv6 adresses dans les fichiers journaux, contactez AWS Support
.
Test de compatibilité d’adresses IP
Si vous utilisez Linux/Unix ou Mac OS X, vous pouvez vérifier si vous pouvez accéder à un point de terminaison à double pile en IPv6 utilisant la curl
commande comme indiqué dans l'exemple suivant :
curl --verbose https://ecr.us-west-2.api.aws
Les informations que vous obtenez doivent ressembler à celles de l'exemple ci-dessous. Si vous êtes connecté via IPv6 l'adresse IP connectée sera une IPv6 adresse.
* About to connect() to ecr.us-west-2.api.aws port 443 (#0) * Trying IPv6 address... connected * Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0) > Host: ecr.us-west-2.api.aws * Request completely sent off
Si vous utilisez Microsoft Windows 7 ou Windows 10, vous pouvez vérifier si vous pouvez accéder à un point de terminaison à double pile via IPv4 ou en IPv6 utilisant la ping
commande comme indiqué dans l'exemple suivant.
ping ecr.us-west-2.api.aws
Effectuer des demandes à l'aide IPv6 de points de terminaison à double pile
Vous pouvez effectuer des appels d'API Amazon ECR à l' IPv6 aide de points de terminaison à double pile. Les fonctionnalités et les performances des opérations de l'API Amazon ECR restent cohérentes, que vous utilisiez IPv4 ou IPv6.
Lorsque vous utilisez le AWS Command Line Interface (AWS CLI) et AWS SDKs, vous pouvez l'activer IPv6 soit en utilisant un paramètre ou un indicateur pour passer à un point de terminaison à double pile, soit en spécifiant directement le point de terminaison à double pile dans votre fichier de configuration pour remplacer le point de terminaison Amazon ECR par défaut. Vous pouvez également apporter des modifications de configuration à l'aide d'une commande définie use_dualstack_endpoint
sur true dans le profil par défaut. Pour plus d'informationsuse_dualstack_endpoint
, voir Points de terminaison à double pile et FIPS.
Exemple Modification de la configuration à l'aide d'une commande
aws configure set default.ecr.use_dualstack_endpoint true
Exemple Faire des demandes plutôt que IPv6 d'utiliser AWS CLI
aws ecr describe-repositories --region us-west-2 --endpoint-url
https://ecr.us-west-2.api.aws
Utilisation des points de terminaison Amazon ECR depuis la CLI docker
Une fois connecté à votre référentiel Amazon ECR et étiqueté votre image, vous pouvez transférer et extraire des images OCI et des images Docker vers et depuis les registres Amazon ECR. Les exemples suivants illustrent les commandes docker push et docker pull avec les deux points de terminaison à double pile.
Exemple Transmission d'images docker à l'aide d'un point de terminaison IPv4
docker push
<registry-id>
.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag
Exemple Transmission d'images docker à l'aide d'un point de terminaison à double pile
docker push
<registry-id>
.dkr-ecr.us-west-1.on.aws/my-repository:tag
Exemple Extraction d'images docker à l'aide d'un point de terminaison IPv4
docker pull
<registry-id>
.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag
Exemple Extraction d'images docker à l'aide d'un point de terminaison à double pile
docker pull
<registry-id>
.dkr-ecr.us-west-1.on.aws/my-repository:tag
Utilisation des IPv6 adresses dans les politiques IAM
Avant d'accéder à un registre en utilisant IPv6, assurez-vous que votre utilisateur IAM et les politiques de registre Amazon ECR qui utilisent le filtrage des adresses IP incluent des plages d' IPv6 adresses. Si les politiques de filtrage des adresses IP ne sont pas mises à jour pour gérer IPv6 les adresses, les clients risquent de perdre ou d'accéder au registre par erreur lorsqu'ils commencent à l'utiliser IPv6. Pour de plus amples informations sur la gestion des autorisations d'accès avec IAM, veuillez consulter Gestion des identités et des accès au registre de conteneur Amazon Elastic.
Les stratégies IAM qui permettent de filtrer les adresses IP utilisent des opérateurs de condition d'adresse IP. L'exemple de politique de registre suivant montre comment identifier la 54.240.143.*
plage d' IPv4 adresses autorisées à l'aide des opérateurs de condition d'adresse IP. Toutes les adresses IP situées en dehors de cette plage se voient refuser l'accès au registre (exampleregistry
). Comme toutes les IPv6 adresses se situent en dehors de la plage autorisée, cette politique empêche les IPv6 adresses d'y accéderexampleregistry
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "ecr:*", "Resource": "arn:aws:ecr:::
exampleregistry
/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }
Pour autoriser à la fois les plages d'adresses IPv4 IPv6 (54.240.143.0/24
2001:DB8:1234:5678::/64
) et (), modifiez l'élément Condition de la politique de registre comme indiqué dans l'exemple suivant. Vous pouvez utiliser ce format de Condition
bloc pour mettre à jour vos politiques d'utilisateur et de registre IAM.
"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }
Important
Avant de l'utiliser, IPv6 vous devez mettre à jour toutes les politiques d'utilisateur et de registre IAM pertinentes qui utilisent le filtrage des adresses IP. Nous ne recommandons pas d'utiliser le filtrage des adresses IP dans les politiques de registre.
Vous pouvez consulter vos politiques utilisateur IAM à l'aide de la console IAM à l'adresse. https://console.aws.amazon.com/iam/