Politiques IAM requises pour que l'ECR entre comptes puisse extraire le cache de l'ECR

Configuration des autorisations entre comptes ECR et ECR PTC

La fonction d'extraction du cache entre Amazon ECR et Amazon ECR (ECR to ECR) permet la synchronisation automatique des images entre les régions, les AWS comptes, ou les deux. Avec ECR to ECR PTC, vous pouvez transférer des images vers votre registre Amazon ECR principal et configurer une règle de cache d'extraction pour mettre en cache les images dans les registres Amazon ECR en aval.

Politiques IAM requises pour que l'ECR entre comptes puisse extraire le cache de l'ECR

Pour mettre en cache des images entre les registres Amazon ECR de différents AWS comptes, créez un rôle IAM dans le compte en aval et configurez les politiques de cette section afin de fournir les autorisations suivantes :

Amazon ECR a besoin d'autorisations pour extraire des images du registre Amazon ECR en amont en votre nom. Vous pouvez accorder ces autorisations en créant un rôle IAM, puis en le spécifiant dans votre règle de cache d'extraction.
Le propriétaire du registre en amont doit également accorder au propriétaire du registre du cache les autorisations requises pour intégrer les images dans les politiques de ressources.

Politiques

Création d'un rôle IAM pour définir les autorisations du cache d'extraction
Création d'une politique de confiance pour le rôle IAM
Création d'une politique de ressources dans le registre Amazon ECR en amont

Création d'un rôle IAM pour définir les autorisations du cache d'extraction

L'exemple suivant montre une politique d'autorisation qui accorde à un rôle IAM l'autorisation d'extraire des images du registre Amazon ECR en amont en votre nom. Lorsqu'Amazon ECR assume le rôle, il reçoit les autorisations spécifiées dans cette politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Création d'une politique de confiance pour le rôle IAM

L'exemple suivant montre une politique de confiance qui identifie le cache d'extraction Amazon ECR en tant que principal de AWS service habilité à assumer ce rôle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Création d'une politique de ressources dans le registre Amazon ECR en amont

Le propriétaire du registre Amazon ECR en amont doit également ajouter une politique de registre ou une politique de référentiel pour accorder au propriétaire du registre en aval les autorisations requises pour effectuer les actions suivantes.


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations IAM requises

Création d'une règle de mise en cache par extraction