Octroi d'autorisations de registre pour la réplication entre comptes dans Amazon ECR

Le type de politique entre comptes est utilisé pour accorder des autorisations à un AWS principal, permettant ainsi la réplication des référentiels d'un registre source vers votre registre. Par défaut, vous avez l'autorisation de configurer la réplication inter-régions dans votre propre registre. Vous devez uniquement configurer la politique de registre si vous accordez à un autre compte l'autorisation de répliquer du contenu dans votre registre.

Une politique de registre doit octroyer l'autorisation pour l'action d'API ecr:ReplicateImage. Cette API est une API Amazon ECR interne qui peut répliquer des images entre régions ou comptes. Vous pouvez également octroyer l'autorisation pour l'autorisation ecr:CreateRepository, qui permet à Amazon ECR de créer des référentiels dans votre registre s'ils n'existent pas déjà. Si l'autorisation ecr:CreateRepository n'est pas octroyée, un référentiel portant le même nom que le référentiel source doit être créé manuellement dans votre registre. Si aucun des deux n'est fait, la réplication échouera. Tout échec CreateRepository ou toute action d'ReplicateImageAPI apparaît dans CloudTrail.

Ouvrez la console Amazon ECR à https://console.aws.amazon.com/ecr/l'adresse.
Dans la barre de navigation, choisissez la région dans laquelle configurer votre politique de registre.
Dans le volet de navigation, choisissez Registre privé, Fonctionnalités et paramètres, puis Autorisations.
Dans la page Registry permissions (Autorisations de registre), choisissez Generate statement (Générer une instruction).
Effectuez les étapes suivantes pour définir votre déclaration de politique à l'aide du générateur de politique.
1. Pour Type de politique, choisissez Réplication - comptes croisés.
2. Pour Numéro de relevé, entrez un identifiant de relevé unique. Ce champ est utilisé comme Sid dans la politique de registre.
3. Dans le champ Comptes, entrez le compte IDs pour chaque compte auquel vous souhaitez accorder des autorisations. Lorsque vous spécifiez plusieurs comptes IDs, séparez-les par une virgule.
Choisissez Enregistrer.

Créez un fichier nommé registry_policy.json et remplissez-le avec une politique de registre.


{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Créez la politique de registre à l'aide du fichier de politique.


aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

Récupérez la politique de votre registre pour confirmer.
```
aws ecr get-registry-policy \
      --region us-west-2
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Passage à la portée étendue de la politique de registre

Octroi d'autorisations pour le cache d'extraction