Memberikan izin registri untuk replikasi lintas akun di Amazon ECR - Amazon ECR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin registri untuk replikasi lintas akun di Amazon ECR

Jenis kebijakan lintas akun digunakan untuk memberikan izin kepada AWS prinsipal, memungkinkan replikasi repositori dari registri sumber ke registri Anda. Secara default, Anda memiliki izin untuk mengonfigurasi replikasi antar wilayah dalam registri Anda sendiri. Anda hanya perlu mengonfigurasi kebijakan registri jika Anda memberikan izin akun lain untuk mereplikasi konten ke registri Anda.

Kebijakan registri harus memberikan izin untuk tindakan API ecr:ReplicateImage. API ini adalah API Amazon ECR internal yang dapat mereplikasi citra antar Wilayah atau akun. Anda juga dapat memberikan izin untuk ecr:CreateRepository, yang memungkinkan Amazon ECR untuk membuat repositori di registri Anda jika belum ada. Jika izin ecr:CreateRepository tidak diberikan, repositori dengan nama yang sama dengan repositori sumber harus dibuat secara manual di registri Anda. Jika keduanya tidak dilakukan, replikasi gagal. Setiap tindakan yang gagal CreateRepository atau ReplicateImage API muncul di CloudTrail.

  1. Buka konsol Amazon ECR di https://console.aws.amazon.com/ecr/.

  2. Dari bilah navigasi, pilih Wilayah untuk mengonfigurasi kebijakan registri Anda.

  3. Di panel navigasi, pilih Registri pribadi, pilih Fitur & Pengaturan, lalu pilih Izin.

  4. Pada halaman Izin registri, pilih Hasilkan pernyataan.

  5. Menyelesaikan langkah-langkah berikut untuk menentukan pernyataan kebijakan Anda menggunakan kebijakan generator.

    1. Untuk jenis Kebijakan, pilih Replikasi - lintas akun.

    2. Untuk id Pernyataan, masukkan ID pernyataan unik. Bidang ini digunakan sebagai Sid pada kebijakan registri.

    3. Untuk Akun, masukkan akun IDs untuk setiap akun yang ingin Anda berikan izin. Saat menentukan beberapa akun IDs, pisahkan dengan koma.

  6. Pilih Simpan.

  1. Buat file bernama registry_policy.json dan isi dengan kebijakan registri.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Buat kebijakan registri menggunakan file kebijakan.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Ambil kebijakan untuk registri Anda untuk mengonfirmasi.

    aws ecr get-registry-policy \
      --region us-west-2