Membuat permintaan ke pendaftar Amazon ECR - Amazon ECR
Memulai dengan IPv6Menguji kompatibilitas alamat IPMengajukan permintaan menggunakan titik akhir tumpukan gandaMenggunakan titik akhir Amazon ECR dari docker CLIMenggunakan IPv6 alamat dalam kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat permintaan ke pendaftar Amazon ECR

Anda dapat mendorong, menarik, menghapus, melihat, dan mengelola gambar OCI, gambar Docker, dan artefak yang kompatibel dengan OCI di pendaftar pribadi Amazon ECR menggunakan titik akhir -only IPv4 atau titik akhir tumpukan ganda (dan). IPv4 IPv6 Untuk membuat permintaan dari IPv4 jaringan, Anda dapat menggunakan dual-stack atau IPv4 endpoint. Untuk membuat permintaan dari IPv6 jaringan, gunakan endpoint dual-stack. Untuk informasi selengkapnya tentang membuat permintaan ke pendaftar Publik Amazon ECR yang menggunakan IPv4 dan titik akhir tumpukan ganda, lihat Membuat permintaan ke pendaftar Publik Amazon ECR. Tidak ada biaya tambahan untuk mengakses Amazon ECR. IPv6 Untuk informasi selengkapnya tentang harga, lihat harga Amazon Elastic Container Registry.

catatan

Amazon ECR tidak mendukung AWS PrivateLink lalu lintas melalui titik akhir dual-stack. Anda harus menggunakan titik akhir Amazon ECR IPv4 -only jika Anda memerlukan dukungan. AWS PrivateLink

Titik akhir Amazon ECR ditetapkan oleh atribut di luar dukungan titik akhir IPv4 -only atau dual-stack endpoint. Atribut ini dapat mencakup:

  • Wilayah - Setiap titik akhir khusus untuk Wilayah.

  • Jenis - Pemilihan titik akhir tergantung pada apakah Anda menggunakan antarmuka baris perintah AWS SDK atau yang kompatibel dengan OCI dan Docker.

  • Keamanan — Di Wilayah tertentu Amazon ECR menawarkan titik akhir yang sesuai dengan FIPS. Untuk informasi selengkapnya tentang daftar titik akhir Amazon ECR yang sesuai dengan FIPS, lihat Federal Information Processing Standard (FIPS) 140-3.

Untuk informasi selengkapnya tentang titik akhir layanan yang didukung oleh IPv4, dual-stack, Docker, dan klien OCI, yang menangani panggilan Amazon ECR API dari AWS CLI dan lihat, titik akhir Layanan. AWS SDKs

Memulai dengan membuat permintaan IPv6

Untuk membuat permintaan ke registri Amazon ECR IPv6, Anda perlu menggunakan endpoint dual-stack. Sebelum mengakses registri Amazon ECR IPv6, verifikasi persyaratan berikut:

  • Klien dan jaringan Anda harus mendukung IPv6.

  • Amazon ECR mendukung jenis permintaan berikut: IPv6

    • Permintaan klien OCI dan Docker:

      <registry-id>.dkr-ecr.<aws-region>.on.aws

    • AWS Permintaan API:

      ecr.<aws-region>.api.aws

  • Anda harus memperbarui AWS Identity and Access Management (IAM) atau kebijakan registri apa pun yang menggunakan pemfilteran alamat IP sumber untuk menyertakan rentang IPv6 alamat. Untuk informasi selengkapnya, lihat Menggunakan IPv6 alamat dalam kebijakan IAM.

  • Saat Anda menggunakan IPv6, log akses server menampilkan Remote IP alamat dalam IPv6 format. Perbarui alat, skrip, dan perangkat lunak yang ada untuk mengurai alamat IP yang IPv6 diformat ini.

    catatan

    Jika Anda mengalami masalah yang terkait dengan keberadaan IPv6 alamat dalam file log, hubungi AWS Dukungan.

Menguji kompatibilitas alamat IP

Jika Anda menggunakan Linux/Unix atau Mac OS X, Anda dapat menguji apakah Anda dapat mengakses titik akhir dual-stack IPv6 dengan menggunakan perintah seperti yang ditunjukkan pada curl contoh berikut:

curl --verbose https://ecr.us-west-2.api.aws

Anda mendapatkan informasi yang serupa dengan contoh berikut. Jika Anda terhubung melalui IPv6 alamat IP yang terhubung akan menjadi IPv6 alamat. 

* About to connect() to ecr.us-west-2.api.aws port 443 (#0)
* Trying IPv6 address... connected
* Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0)
> Host: ecr.us-west-2.api.aws
* Request completely sent off

Jika Anda menggunakan Microsoft Windows 7 atau Windows 10, Anda dapat menguji apakah Anda dapat mengakses titik akhir dual-stack di atas IPv4 atau IPv6 dengan menggunakan ping perintah seperti yang ditunjukkan pada contoh berikut.

ping ecr.us-west-2.api.aws

Membuat permintaan IPv6 dengan menggunakan titik akhir dual-stack

Anda dapat membuat panggilan Amazon ECR API melalui IPv6 menggunakan titik akhir dual-stack. Fungsionalitas dan kinerja operasi Amazon ECR API tetap konsisten apakah Anda menggunakan IPv4 atau IPv6.

Bila Anda menggunakan AWS Command Line Interface (AWS CLI) dan AWS SDKs, Anda dapat mengaktifkan IPv6 baik dengan menggunakan parameter atau flag untuk beralih ke titik akhir dual-stack, atau dengan langsung menentukan titik akhir dual-stack dalam file konfigurasi Anda untuk mengganti endpoint Amazon ECR default. Anda juga dapat membuat perubahan konfigurasi dengan menggunakan perintah, yang disetel use_dualstack_endpoint ke true di profil default. Untuk informasi selengkapnyause_dualstack_endpoint, lihat Dual-stack dan titik akhir FIPS.

contoh Membuat perubahan konfigurasi dengan menggunakan perintah

aws configure set default.ecr.use_dualstack_endpoint true

contoh Membuat permintaan lebih dari IPv6 menggunakan AWS CLI

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Menggunakan titik akhir Amazon ECR dari docker CLI

Setelah Anda masuk ke repositori Amazon ECR Anda dan menandai gambar Anda, Anda dapat mendorong dan menarik gambar OCI dan gambar Docker ke dan dari pendaftar Amazon ECR. Contoh berikut menunjukkan perintah docker push dan docker pull dengan kedua titik akhir dual-stack.

contoh Mendorong gambar docker menggunakan endpoint IPv4

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

contoh Mendorong gambar docker menggunakan titik akhir dual-stack

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

contoh Menarik gambar docker menggunakan endpoint IPv4

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

contoh Menarik gambar docker menggunakan titik akhir dual-stack

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Menggunakan IPv6 alamat dalam kebijakan IAM

Sebelum Anda mengakses registri menggunakan IPv6, pastikan bahwa pengguna IAM dan kebijakan registri Amazon ECR Anda yang menggunakan pemfilteran alamat IP menyertakan IPv6 rentang alamat. Jika kebijakan pemfilteran alamat IP tidak diperbarui untuk menangani IPv6 alamat, klien mungkin salah kehilangan atau mendapatkan akses ke registri saat mereka mulai menggunakan IPv6. Untuk informasi selengkapnya tentang mengelola izin akses, lihat Identity and Access Management untuk Amazon Elastic Container Registry.

Kebijakan IAM yang memfilter alamat IP menggunakan Operator Kondisi Alamat IP. Contoh kebijakan registri berikut menunjukkan cara mengidentifikasi 54.240.143.* rentang IPv4 alamat yang diizinkan dengan menggunakan operator kondisi alamat IP. Alamat IP apa pun di luar rentang ini ditolak akses ke registri (exampleregistry). Karena semua IPv6 alamat berada di luar rentang yang diizinkan, kebijakan ini mencegah akses IPv6 alamat. exampleregistry

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "ecr:*",
      "Resource": "arn:aws:ecr:::exampleregistry/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Untuk mengizinkan rentang alamat IPv4 IPv6 (54.240.143.0/242001:DB8:1234:5678::/64) dan (), ubah elemen Kondisi kebijakan registri seperti yang ditunjukkan pada contoh berikut. Anda dapat menggunakan format Condition blok ini untuk memperbarui kebijakan pengguna dan registri IAM Anda.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }
penting

Sebelum menggunakan, IPv6 Anda harus memperbarui semua kebijakan pengguna dan registri IAM yang relevan yang menggunakan pemfilteran alamat IP. Kami tidak menyarankan menggunakan pemfilteran alamat IP dalam kebijakan registri.

Anda dapat meninjau kebijakan pengguna IAM menggunakan konsol IAM di. https://console.aws.amazon.com/iam/ Untuk informasi lebih lanjut tentang IAM, lihat Panduan Pengguna IAM.