Réplication d’images privées sur Amazon ECR - Amazon ECR
Exigences relatives à la politique de réplicationConsidérations relatives à la réplication d'images privées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réplication d’images privées sur Amazon ECR

Vous pouvez configurer votre registre privé Amazon ECR pour prendre en charge la réplication de vos référentiels. Amazon ECR prend en charge la réplication inter-régions et inter-comptes. Pour que la réplication inter-comptes se produise, le compte de destination doit configurer une politique d'autorisations de registre pour autoriser la réplication à partir du registre source. Pour de plus amples informations, veuillez consulter Autorisations de registre privé dans Amazon ECR.

Rubriques

Exigences relatives à la politique de réplication entre comptes

Pour que la réplication ECR entre comptes fonctionne correctement, vous devez comprendre quel compte a besoin de quelles politiques configurées. Cette section précise les exigences en matière de politique pour les comptes source et de destination.

Présentation de la configuration des politiques

La réplication ECR entre comptes nécessite la configuration des politiques sur le compte de destination uniquement. Le compte source ne nécessite aucune politique de dépôt ou de registre particulière.

  • Compte source : configurez les règles de réplication dans les paramètres du registre. Aucune politique supplémentaire n'est requise pour les référentiels sources.

  • Compte de destination : configurez une politique d'autorisations de registre pour autoriser le compte source à répliquer des images.

Exigences relatives à la politique du registre de destination

Le compte de destination doit configurer une politique d'autorisations de registre qui accorde au compte source l'autorisation d'effectuer les actions suivantes :

  • ecr:ReplicateImage- Permet au compte source de répliquer les images dans le registre de destination

  • ecr:CreateRepository- Permet à ECR de créer automatiquement des référentiels dans le registre de destination s'ils n'existent pas déjà

Important

Si vous n'accordez pas l'ecr:CreateRepositoryautorisation, vous devez créer manuellement des référentiels portant le même nom dans le compte de destination pour que la réplication puisse réussir.

Exemple de politique de registre de destination :

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCrossAccountReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:root"
            },
            "Action": [
                "ecr:ReplicateImage",
                "ecr:CreateRepository"
            ]
        }
    ]
}

Exigences relatives au compte source

Le compte source doit uniquement :

  • Configurez les règles de réplication dans les paramètres du registre pour spécifier le compte et les régions de destination

  • Assurez-vous que le principal IAM qui configure la réplication dispose des autorisations ECR nécessaires

Aucune politique supplémentaire n'est requise pour les référentiels sources. Les référentiels sources n'ont pas besoin de politiques de dépôt accordant des autorisations de réplication.

Idées fausses courantes

Voici quelques idées fausses courantes concernant les politiques de réplication entre comptes ECR :

  • Idée fausse : le référentiel source a besoin d'une politique permettant au compte de destination de répliquer des images.

    Réalité : les référentiels sources n'ont pas besoin de règles spéciales pour la réplication.

  • Idée fausse : les comptes source et de destination ont besoin de politiques de registre.

    Réalité : Seul le compte de destination a besoin d'une politique d'autorisation de registre.

  • Idée fausse : les politiques de dépôt et les politiques de registre sont identiques.

    Réalité : les politiques de référentiel contrôlent l'accès aux référentiels individuels, tandis que les politiques de registre contrôlent les opérations au niveau du registre, telles que la réplication.

Résolution des problèmes de réplication

Si la réplication entre comptes échoue, vérifiez les points suivants :

  • Vérifiez que le compte de destination dispose d'une politique d'autorisations de registre configurée

  • Assurez-vous que la politique de registre inclut les deux ecr:ReplicateImage et les ecr:CreateRepository actions

  • Vérifiez que l'ID du compte source est correctement spécifié dans la politique de registre de destination

  • Vérifiez que les référentiels de destination existent (s'ils ne ecr:CreateRepository sont pas autorisés)

  • Consultez CloudTrail les journaux pour détecter les échecs CreateRepository ou les appels ReplicateImage d'API

Considérations relatives à la réplication d'images privées

Les informations suivantes doivent être prises en compte lors de l'utilisation de la réplication d'images privées.

  • Seul le contenu du référentiel envoyé vers un référentiel après la configuration de la réplication est répliqué. Tout contenu préexistant dans un référentiel n'est pas répliqué. Une fois la réplication configurée pour un référentiel, Amazon ECR synchronise la destination et la source.

  • Le nom du référentiel restera le même pour toutes les régions et tous les comptes une fois la réplication effectuée. Amazon ECR ne prend pas en charge la modification du nom du référentiel pendant la réplication.

  • La première fois que vous configurez votre registre privé pour la réplication, Amazon ECR crée un rôle IAM lié à un service en votre nom. Le rôle IAM lié à un service octroie au service de réplication Amazon ECR l'autorisation dont il a besoin pour créer des référentiels et répliquer des images dans votre registre. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECR.

  • Pour que la réplication inter-comptes se produise, la destination du registre privé doit octroyer au registre source l'autorisation de répliquer ses images. Pour ce faire, définissez une politique d'autorisations de registre privé. Pour de plus amples informations, veuillez consulter Autorisations de registre privé dans Amazon ECR.

  • Si la politique d'autorisation d'un registre privé est modifiée pour supprimer une autorisation, toutes les réplications en cours précédemment octroyées peuvent se terminer.

  • Pour que la réplication entre régions ait lieu, les comptes source et de destination doivent être intégrés à la région avant toute action de réplication au sein ou vers cette région. Pour plus d'informations, consultez Gestion des régions AWS dans le Référence générale d'Amazon Web Services.

  • La réplication entre régions n'est pas prise en charge entre les AWS partitions. Par exemple, un référentiel dans us-west-2 ne peut pas être répliqué vers cn-north-1. Pour plus d'informations sur AWS les partitions, consultez la section Format ARN dans le manuel de référence AWS général.

  • La configuration de réplication d'un registre privé peut contenir jusqu'à 25 destinations uniques pour toutes les règles, avec un maximum de 10 règles au total. Chaque règle peut contenir jusqu'à 100 filtres. Cela permet de préciser des règles distinctes pour les référentiels contenant des images utilisées pour la production et le test, par exemple.

  • La configuration de réplication prend en charge le filtrage des référentiels dans un registre privé qui sont répliqués en indiquant un préfixe de référentiel. Pour voir un exemple, consultez Exemple : Configuration de la réplication inter-régions à l'aide d'un filtre de référentiel.

  • Une action de réplication ne se produit qu'une fois par poussée d'image. Par exemple, si vous avez configuré la réplication inter-régions à partir de us-west-2 sur us-east-1 et à partir de us-east-1 sur us-east-2, une image poussée vers us-west-2 répliquera uniquement sur us-east-1, elle ne se répliquera pas à nouveau sur us-east-2. Ce comportement s'applique à la fois à la réplication inter-régions et inter-comptes.

  • La majorité des images se répliquent en moins de 30 minutes, mais dans de rares cas, la réplication peut prendre plus de temps.

  • La réplication du registre n'effectue aucune action de suppression. Les images et les référentiels répliqués peuvent être supprimés manuellement lorsqu'ils ne sont plus utilisés.

  • Les politiques de référentiel, notamment les politiques IAM et les politiques de cycle de vie, ne sont pas répliquées et n'ont aucun effet autre que sur le référentiel pour lequel elles sont définies.

  • Les paramètres du référentiel ne sont pas répliqués par défaut. Vous pouvez répliquer les paramètres du référentiel à l'aide de modèles de création de référentiel. Ces paramètres incluent la mutabilité des balises, le chiffrement, les autorisations de dépôt et les politiques de cycle de vie. Pour plus d'informations sur les modèles de création de référentiels, consultezModèles pour contrôler les référentiels créés lors d'une action d'extraction dans le cache ou de réplication.

  • Si l'immuabilité des étiquettes est activée sur un référentiel et qu'une image qui utilise la même étiquette qu'une image existante est répliquée, l'image sera répliquée, mais elle ne contiendra pas l'étiquette dupliquée. Cela pourrait entraîner le non-étiquetage de l'image.