Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache

Menyiapkan izin untuk ECR lintas akun ke ECR PTC

Fitur cache Amazon ECR ke Amazon ECR (ECR ke ECR) memungkinkan sinkronisasi otomatis gambar antara Wilayah, akun, AWS atau keduanya. Dengan ECR ke ECR PTC, Anda dapat mendorong gambar ke registri ECR Amazon utama Anda dan mengonfigurasi aturan pull through cache untuk menyimpan gambar di registri Amazon ECR hilir.

Kebijakan IAM diperlukan untuk ECR lintas akun ke ECR menarik cache

Untuk menyimpan gambar di antara pendaftar Amazon ECR di berbagai AWS akun, buat peran IAM di akun hilir dan konfigurasikan kebijakan di bagian ini untuk memberikan izin berikut:

Amazon ECR memerlukan izin untuk menarik gambar dari registri ECR Amazon hulu atas nama Anda. Anda dapat memberikan izin ini dengan membuat peran IAM dan kemudian menentukannya dalam aturan cache tarik melalui Anda.
Pemilik registri hulu juga harus memberikan pemilik registri cache dengan izin yang diperlukan untuk menarik gambar ke kebijakan sumber daya.

Kebijakan

Membuat peran IAM untuk menentukan izin cache tarik melalui
Membuat kebijakan Trust untuk peran IAM
Membuat kebijakan sumber daya di registri ECR Amazon hulu

Membuat peran IAM untuk menentukan izin cache tarik melalui

Contoh berikut menunjukkan kebijakan izin yang memberikan izin peran IAM untuk menarik gambar dari registri ECR Amazon hulu atas nama Anda. Saat Amazon ECR mengambil peran tersebut, Amazon akan menerima izin yang ditentukan dalam kebijakan ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Membuat kebijakan Trust untuk peran IAM

Contoh berikut menunjukkan kebijakan kepercayaan yang mengidentifikasi cache penarikan ECR Amazon sebagai prinsip AWS layanan yang dapat mengambil peran tersebut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Membuat kebijakan sumber daya di registri ECR Amazon hulu

Pemilik registri Amazon ECR hulu juga harus menambahkan kebijakan registri atau kebijakan repositori untuk memberikan pemilik registri hilir izin yang diperlukan untuk melakukan tindakan berikut.


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin IAM yang diperlukan

Membuat aturan pull through cache