Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des rôles liés à un service pour Amazon ECR
Amazon Elastic Container Registry (Amazon ECR) Gestion des identités et des accès AWS utilise des rôles [liés à un service (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) pour fournir les autorisations nécessaires à l'utilisation des fonctionnalités de réplication et d'extraction du cache. Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon ECR. Le rôle lié au service est prédéfini par Amazon ECR. Il comprend toutes les autorisations dont le service a besoin pour prendre en charge les fonctions de réplication et de mise en cache par extraction pour votre registre privé. Après avoir configuré la réplication ou la mise en cache par extraction pour votre registre, un rôle lié à un service est créé automatiquement en votre nom. Pour de plus amples informations, veuillez consulter [Paramètres du registre privé dans Amazon ECR](registry-settings.md).
Un rôle lié à un service simplifie la configuration de la réplication et de la mise en cache par extraction avec Amazon ECR. En effet, son utilisation vous évite de devoir ajouter manuellement toutes les autorisations requises. Amazon ECR définit les autorisations de ses rôles liés à un service et, sauf indication contraire, seul Amazon ECR peut assumer ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. La politique d'autorisations ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer le rôle lié à un service correspondant uniquement après avoir désactivé la réplication ou la mise en cache par extraction dans votre registre. Cela vous permet de ne pas supprimer par inadvertance les autorisations dont Amazon ECR a besoin pour ces fonctions.
Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Dans cette page de liens, recherchez les services qui comportent un **Oui** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.
**Topics**
+ [
## Régions prises en charge pour les rôles liés à un service Amazon ECR
](#slr-regions)
+ [
# Rôle lié à un service Amazon ECR pour la réplication
](slr-replication.md)
+ [
# Rôle lié à un service Amazon ECR pour la mise en cache par extraction
](slr-pullthroughcache.md)
+ [
# Rôle lié au service Amazon ECR pour les modèles de création de référentiels
](slr-rct.md)
## Régions prises en charge pour les rôles liés à un service Amazon ECR
Amazon ECR prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service Amazon ECR est disponible. Pour en savoir plus sur la disponibilité de la région Amazon ECR, consultez [Régions et Points de terminaison AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Rôle lié à un service Amazon ECR pour la réplication
Amazon ECR utilise un rôle lié à un service nommé **AWSServiceRoleForECRReplication**qui permet à Amazon ECR de répliquer des images sur plusieurs comptes.
## Autorisations du rôle lié à un service pour Amazon ECR
Le rôle AWSService RoleFor ECRReplication lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `replication.ecr.amazonaws.com`
La politique d'autorisations liée au rôle `ECRReplicationServiceRolePolicy` permet à Amazon ECR d'utiliser les actions suivantes sur les ressources :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "*"
}
]
}
```
------
**Note**
Le `ReplicateImage` est une API interne qu'Amazon ECR utilise pour la réplication et qui ne peut pas être appelée directement.
Vous devez configurer les autorisations de manière à autoriser une entité IAM (comme un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Autorisations des rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *guide de l'utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon ECR
Vous n'avez pas besoin de créer manuellement un rôle lié au service Amazon ECR. Lorsque vous configurez les paramètres de réplication pour votre registre dans le AWS Management Console, le AWS CLI, ou l' AWS API, Amazon ECR crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous devez le recréer, vous pourrez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous configurez les paramètres de réplication pour votre registre, Amazon ECR recrée automatiquement le rôle lié à un service.
## Modification d'un rôle lié à un service pour Amazon ECR
Amazon ECR n'autorise pas la modification manuelle du rôle lié au AWSService RoleFor ECRReplication service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié à un service pour Amazon ECR
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez supprimer la configuration de réplication de votre registre dans chaque région avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si vous essayez de supprimer des ressources alors que le service Amazon ECR utilise toujours les rôles, votre action de suppression pourrait échouer. Si cela se produit, attendez quelques minutes et réessayez.
**Pour supprimer les ressources Amazon ECR utilisées par AWSService RoleFor ECRReplication**
1. Ouvrez la console Amazon ECR à [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)l'adresse.
1. Dans la barre de navigation, sélectionnez la région dans laquelle votre configuration de réplication est définie.
1. Dans le panneau de navigation, choisissez **Registre de schémas**.
1. Dans la page **Registre privé**, dans la section **Configuration de réplication**, choisissez **Modifier**.
1. Pour supprimer toutes vos règles de réplication, choisissez **Tout supprimer**. Cette étape nécessite une confirmation.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForECRReplication**service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Rôle lié à un service Amazon ECR pour la mise en cache par extraction
Amazon ECR utilise un rôle lié à un service nommé **AWSServiceRoleForECRPullThroughCache**qui autorise Amazon ECR à effectuer des actions en votre nom pour effectuer des actions d'extraction dans le cache. Pour plus d'informations sur la mise en cache par extraction, consultez [Modèles pour contrôler les référentiels créés lors d'une opération d'extraction du cache, d'une création push ou d'une action de réplication](repository-creation-templates.md).
## Autorisations du rôle lié à un service pour Amazon ECR
Le rôle **AWSServiceRoleForECRPullThroughCache**lié à un service fait confiance au service suivant pour assumer le rôle.
+ `pullthroughcache.ecr.amazonaws.com`
**Détails de l’autorisation**
La politique d'autorisations `AWSECRPullThroughCache_ServiceRolePolicy` est attachée au rôle lié à un service. Cette politique gérée accorde à Amazon ECR l'autorisation d'effectuer les actions suivantes. Pour de plus amples informations, veuillez consulter [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`— Permet au service Amazon ECR d'extraire et de transférer des images vers un référentiel privé.
+ `secretsmanager:GetSecretValue`— Permet au service Amazon ECR de récupérer le contenu chiffré d'un AWS Secrets Manager secret. Cela est nécessaire lors de l'utilisation d'une règle de mise en cache par extraction pour mettre en cache des images provenant d'un registre en amont qui nécessite une authentification dans votre registre privé. Cette autorisation s'applique uniquement aux secrets portant le préfixe de nom `ecr-pullthroughcache/`.
La politique `AWSECRPullThroughCache_ServiceRolePolicy` contient le JSON suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage",
"ecr:BatchGetImage",
"ecr:BatchImportUpstreamImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetImageCopyStatus"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à autoriser une entité IAM (comme un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon ECR
Vous n'avez pas besoin de créer manuellement le rôle lié à un service Amazon ECR pour la mise en cache par extraction. Lorsque vous créez une règle de cache d'extraction pour votre registre privé dans le AWS Management Console, le AWS CLI ou l' AWS API, Amazon ECR crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous devez le recréer, vous pourrez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une règle de mise en cache par extraction pour votre registre privé, Amazon ECR crée à nouveau le rôle lié à un service pour vous s'il n'existe pas déjà.
## Modification d'un rôle lié à un service pour Amazon ECR
Amazon ECR n'autorise pas la modification manuelle du rôle lié au **AWSServiceRoleForECRPullThroughCache**service. Après la création du rôle lié à un service, vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié à un service pour Amazon ECR
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez supprimer les règles de mise en cache par extraction pour votre registre dans chaque région avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si vous essayez de supprimer des ressources alors que le service Amazon ECR utilise toujours le rôle, votre action de suppression peut échouer. Si cela se produit, attendez quelques minutes et réessayez.
**Pour supprimer des ressources Amazon ECR utilisées par le rôle lié à un service **AWSServiceRoleForECRPullThroughCache****
1. Ouvrez la console Amazon ECR à [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)l'adresse.
1. Dans la barre de navigation, choisissez la région où vos règles de mise en cache par extraction sont créées.
1. Dans le panneau de navigation, choisissez **Registre de schémas**.
1. Dans la page **Registre privé**, dans la section **Configuration de la mise en cache par extraction**, choisissez **Modifier**.
1. Pour chaque règle de cache d'extraction que vous avez créée, sélectionnez la règle, puis choisissez **Supprimer la règle**.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForECRPullThroughCache**service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Rôle lié au service Amazon ECR pour les modèles de création de référentiels
Amazon ECR utilise un rôle lié à un service nommé **AWSServiceRoleForECRTemplate**qui autorise Amazon ECR à effectuer des actions en votre nom afin de terminer les actions de création de modèles de référentiel.
## Autorisations du rôle lié à un service pour Amazon ECR
Le rôle **AWSServiceRoleForECRTemplate**lié à un service fait confiance au service suivant pour assumer le rôle.
+ `ecr.amazonaws.com`
**Détails de l’autorisation**
La politique d'autorisations ``ECRTemplateServiceRolePolicy`` est attachée au rôle lié à un service. Cette politique gérée accorde à Amazon ECR l'autorisation d'effectuer des actions de création de référentiels en votre nom.
La politique `ECRTemplateServiceRolePolicy` contient le JSON suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateRepositoryWithTemplate",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*"
}
]
}
```
------
Vous devez configurer les autorisations de manière à autoriser une entité IAM (comme un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon ECR
Il n'est pas nécessaire de créer manuellement le rôle lié au service Amazon ECR pour le modèle de création de référentiel. Lorsque vous créez une règle de modèle de création de référentiel pour votre registre privé dans l' AWS Management Console AWS API AWS CLI, Amazon ECR crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous devez le recréer, vous pourrez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une règle de création de référentiel pour votre registre privé, Amazon ECR crée à nouveau le rôle lié au service pour vous s'il n'existe pas déjà.
## Modification d'un rôle lié à un service pour Amazon ECR
Amazon ECR n'autorise pas la modification manuelle du rôle lié au **AWSServiceRoleForECRTemplate**service. Après la création du rôle lié à un service, vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié à un service pour Amazon ECR
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Toutefois, vous devez supprimer les règles de création de référentiel pour votre registre dans chaque région avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si vous essayez de supprimer des ressources alors que le service Amazon ECR utilise toujours le rôle, votre action de suppression peut échouer. Si cela se produit, attendez quelques minutes et réessayez.
**Pour supprimer des ressources Amazon ECR utilisées par le rôle lié à un service **AWSServiceRoleForECRTemplate****
1. Ouvrez la console Amazon ECR à [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)l'adresse.
1. Dans la barre de navigation, choisissez la région dans laquelle les règles de création de votre référentiel sont créées.
1. Dans le panneau de navigation, choisissez **Registre de schémas**.
1. Sur la page **Registre privé**, dans la section **Modèles de création de référentiels**, choisissez **Modifier**.
1. Pour chaque règle de création de référentiel que vous avez créée, sélectionnez la règle, puis choisissez **Supprimer la règle**.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForECRTemplate**service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.