Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registro privato Amazon ECR
Il registro privato Amazon ECR ospita le immagini di container in un'architettura altamente disponibile e scalabile. È possibile utilizzare il registro privato per gestire i repository di immagini privati costituiti da immagini e artefatti Docker e Open Container Initiative (OCI). Ciascun account AWS dispone di un registro Amazon ECR privato predefinito. Per ulteriori informazioni sui registri pubblici Amazon ECR, consulta [Registri pubblici](https://docs.aws.amazon.com/AmazonECR/latest/public/public-registries.html) nella *Guida per l'utente di Amazon Elastic Container Registry*.
## Concetti dei registri privati
+ L'URL del registro privato predefinito è `https://``aws_account_id.dkr.ecr.region.amazonaws.com`.
+ Per impostazione predefinita l'account ha accesso in lettura e in scrittura ai repository contenuti nel registro privato. Tuttavia, gli utenti richiedono le autorizzazioni per effettuare chiamate ad Amazon ECR APIs e inviare o estrarre immagini da e verso i tuoi repository privati. Amazon ECR fornisce diverse policy gestite per controllare l'accesso degli utenti a diversi livelli. Per ulteriori informazioni, consulta [Esempi di policy basate su Identità di Amazon Elastic Container Registry](security_iam_id-based-policy-examples.md).
+ Devi autenticare il tuo client Docker nel tuo registro privato in modo da poter utilizzare i comandi **docker push** e **docker pull** per inviare ed estrarre immagini dai repository in quel registro. Per ulteriori informazioni, consulta [Autenticazione del registro privato in Amazon ECR](registry_auth.md).
+ I repository privati possono essere controllati sia tramite le policy di accesso degli utenti sia con le policy relative ai repository stessi. Per ulteriori informazioni sulle policy dei repository, consulta [Politiche di repository privati in Amazon ECR](repository-policies.md).
+ I repository del tuo registro privato possono essere replicati tra AWS regioni, nel tuo registro privato e su account separati configurando la replica per il tuo registro privato. Per ulteriori informazioni, consulta [Private image replication in Amazon ECR](replication.md).
# Autenticazione del registro privato in Amazon ECR
È possibile utilizzare il Console di gestione AWS AWS CLI, il o il AWS SDKs per creare e gestire archivi privati. Puoi utilizzare questi metodi anche per eseguire alcune operazioni sulle immagini, come elencarle o eliminarle. Questi client utilizzano metodi di AWS autenticazione standard. Anche se tecnicamente puoi utilizzare l'API Amazon ECR per inviare ed estrarre immagini, è più probabile che utilizzerai la CLI Docker o una libreria Docker specifica per la lingua.
La CLI Docker non supporta i metodi di autenticazione IAM nativi. È necessario eseguire ulteriori passaggi affinché Amazon ECR possa autenticare e autorizzare le richieste di invio ed estrazione di Docker.
Sono disponibili i metodi di autenticazione del registro illustrati nel dettaglio nelle sezioni seguenti.
## Utilizzo dell'assistente delle credenziali Amazon ECR
Amazon ECR fornisce un supporto per le credenziali Docker che semplifica l'archiviazione e l'utilizzo delle credenziali Docker durante l'invio e l'estrazione delle immagini in Amazon ECR. Per i passaggi di installazione e configurazione, consulta [Amazon ECR Docker Credential Helper](https://github.com/awslabs/amazon-ecr-credential-helper).
**Nota**
Al momento l'assistente credenziali Amazon ECR Docker non supporta l'autenticazione a più fattori (MFA) con più fattori.
## Utilizzo di un token di autorizzazione
L'ambito di autorizzazione di un token di autorizzazione corrisponde a quello dell'entità principale IAM utilizzata per recuperare il token di autenticazione. Un token di autenticazione viene utilizzato per accedere a qualsiasi registro Amazon ECR a cui l'entità principale IAM ha accesso ed è valido per 12 ore. Per ottenere un token di autorizzazione, è necessario utilizzare l'operazione [GetAuthorizationToken](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_GetAuthorizationToken.html)API per recuperare un token di autorizzazione con codifica Base64 contenente il nome utente e una password codificata. `AWS` Il AWS CLI ` get-login-password` comando semplifica questa operazione recuperando e decodificando il token di autorizzazione che è quindi possibile reindirizzare a un comando per l'autenticazione. **docker login**
**Per autenticare Docker su un registro privato Amazon ECR con get-login**
+
Per autenticare Docker in un registro Amazon ECR con get-login-password, esegui il comando. **aws ecr get-login-password** Quando si passa il token di autenticazione al comando **docker login**, usare il valore `AWS` per il nome utente e specificare l'URI di registro Amazon ECR a cui si desidera autenticare. Se si esegue l'autenticazione a più registri, è necessario ripetere il comando per ogni registro di sistema.
**Importante**
Se viene visualizzato un errore, installare o eseguire l'upgrade alla versione più recente dell' AWS CLI. Per ulteriori informazioni, consulta [Installazione dell’ AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html) nella *Guida per l’utente dell’AWS Command Line Interface *.
+ [get-login-password](https://docs.aws.amazon.com/cli/latest/reference/ecr/get-login-password.html) (AWS CLI)
```
aws ecr get-login-password --region region | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.region.amazonaws.com
```
+ Comando [Get () ECRLogin](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRLoginCommand.html)AWS Tools for Windows PowerShell
```
(Get-ECRLoginCommand).Password | docker login --username AWS --password-stdin aws_account_id.dkr.ecr.region.amazonaws.com
```
## Utilizzo dell'autenticazione API HTTP
Amazon ECR supporta l'[API HTTP del registro Docker](https://docs.docker.com/registry/spec/api/). Tuttavia, poiché Amazon ECR è un registro privato, devi fornire un token di autorizzazione con ogni richiesta HTTP. È possibile aggiungere un'intestazione di autorizzazione HTTP utilizzando l'`-H`opzione for **curl** e passare il token di autorizzazione fornito dal **get-authorization-token** AWS CLI comando.
**Per effettuare l'autenticazione con l'API HTTP di Amazon ECR**
1. Recupera un token di autorizzazione con AWS CLI e impostalo su una variabile di ambiente.
```
TOKEN=$(aws ecr get-authorization-token --output text --query 'authorizationData[].authorizationToken')
```
1. Per effettuare l'autenticazione nell'API, passa la variabile `$TOKEN` all'opzione ` -H` di **curl**. Ad esempio, il comando seguente elenca i tag immagine in un repository Amazon ECR. Per ulteriori informazioni, consulta [API HTTP del registro Docker](https://docs.docker.com/registry/spec/api/) nella documentazione di riferimento.
```
curl -i -H "Authorization: Basic $TOKEN" https://aws_account_id.dkr.ecr.region.amazonaws.com/v2/amazonlinux/tags/list
```
L'output è il seguente:
```
HTTP/1.1 200 OK
Content-Type: text/plain; charset=utf-8
Date: Thu, 04 Jan 2018 16:06:59 GMT
Docker-Distribution-Api-Version: registry/2.0
Content-Length: 50
Connection: keep-alive
{"name":"amazonlinux","tags":["2017.09","latest"]}
```
# Impostazioni del registro privato in Amazon ECR
Amazon ECR utilizza le impostazioni del registro privato per configurare le funzionalità a livello di registro. Le impostazioni del registro privato sono configurate separatamente per ogni regione. Puoi utilizzare le impostazioni del registro privato per configurare le seguenti funzionalità.
+ **Autorizzazioni di registro**: una politica di autorizzazioni del registro fornisce il controllo sulla replica e consente di recuperare le autorizzazioni della cache. Per ulteriori informazioni, consulta [Autorizzazioni di registro private in Amazon ECR](registry-permissions.md).
+ **Regole pull through cache**: una regola pull through cache viene utilizzata per memorizzare nella cache le immagini da un registro upstream nel tuo registro privato Amazon ECR. Per ulteriori informazioni, consulta [Sincronizzazione di un registro upstream con un registro privato Amazon ECR](pull-through-cache.md).
+ **Configurazione di replica: la configurazione** di replica viene utilizzata per controllare se i repository vengono copiati su o. Regioni AWS Account AWS Per ulteriori informazioni, consulta [Private image replication in Amazon ECR](replication.md).
+ **Modelli di creazione di** repository: un modello di creazione di repository viene utilizzato per definire le impostazioni standard da applicare quando Amazon ECR crea nuovi repository per tuo conto. Ad esempio, i repository creati mediante un'azione pull through cache, la creazione in modalità push o la replica. Per ulteriori informazioni, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).
+ **Configurazione della scansione**: per impostazione predefinita, il registro è abilitato per la scansione di base. Puoi abilitare la scansione avanzata che offre una modalità di scansione automatica e continua che esegue la scansione delle vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione. Per ulteriori informazioni, consulta [Scansiona le immagini per individuare le vulnerabilità del software in Amazon ECR](image-scanning.md).
+ **Esclusione degli aggiornamenti pull-time**: è possibile configurare le esclusioni degli aggiornamenti pull-time per evitare che l'ultima ora di pull venga aggiornata per immagini specifiche quando vengono scaricate. Ciò è utile per le immagini utilizzate a scopo di test o per CI/CD scopi in cui non si desidera che il pull time influenzi le decisioni relative alle politiche relative al ciclo di vita. Per ulteriori informazioni, consulta [Esclusioni relative agli aggiornamenti a tempo pieno](pull-time-update-exclusions.md).
+ **Configurazione di montaggio dei blob: la configurazione** di montaggio dei blob viene utilizzata per controllare se i repository all'interno del registro condividono livelli comuni anziché archiviare livelli duplicati. Per ulteriori informazioni, consulta [Montaggio di blob in Amazon ECR](blob-mounting.md).
# Montaggio di blob in Amazon ECR
Amazon ECR supporta una funzionalità chiamata blob mount per condividere livelli di immagine comuni tra repository all'interno di un registro. Se abilitati, i repository all'interno di un singolo registro possono fare riferimento ai livelli di altri repository all'interno dello stesso registro anziché archiviare copie duplicate.
Quando il montaggio dei blob del registro è abilitato, Amazon ECR verifica i livelli esistenti nel registro durante le operazioni push quando sono inclusi i parametri di montaggio. Se un layer esiste già in un altro repository all'interno dello stesso registro, Amazon ECR monterà il layer esistente anziché caricarne un duplicato.
**Nota**
I client OCI includono automaticamente i parametri di montaggio se rilevano che un blob potrebbe già esistere in un altro repository. Amazon ECR tenta il montaggio solo quando questi parametri sono presenti nella richiesta POST del client.
## Concetti di montaggio Blob
+ Il montaggio dei BLOB funziona solo all'interno dello stesso registro (stesso account e regione).
+ I repository devono utilizzare chiavi e tipo di crittografia identici.
+ Il montaggio di BLOB non è supportato per le immagini create tramite la cache pull through.
+ Se decidete di disabilitare il montaggio su blob, le immagini esistenti che sono state inviate con il montaggio BLOB configurato continueranno a funzionare e i livelli rimarranno montati.
## Configurazione di montaggio Blob
È possibile utilizzare Console di gestione AWS o AWS CLI per configurare il montaggio dei blob per il registro.
**Nota**
Gli utenti necessitano dell'autorizzazione `ecr:GetDownloadUrlForLayer` IAM su un repository per montare i livelli da esso.
------
#### [ Console di gestione AWS ]
Utilizza i seguenti passaggi per aggiornare la configurazione di montaggio dei blob del registro utilizzando. Console di gestione AWS
**Attiva la configurazione di montaggio dei blob per il tuo registro privato**
1. [Apri la console Amazon ECR su private-registry/repository https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dalla barra di navigazione, scegli la regione.
1. Nel pannello di navigazione, scegli **Registro privato**, **Funzionalità e impostazioni**, quindi scegli **Montaggio Blob**.
1. **Nella pagina di **montaggio di Blob**, scegli Abilita.**
Viene visualizzato un banner che indica che la configurazione di montaggio del BLOB è stata aggiornata per essere abilitata.
------
#### [ AWS CLI ]
Usa il seguente comando per aggiornare la configurazione di montaggio dei blob del tuo registro utilizzando. AWS CLI
+
```
aws ecr put-account-setting --name BLOB_MOUNTING --value ENABLED
```
------
# Autorizzazioni di registro private in Amazon ECR
Amazon ECR utilizza una **policy di registro** per concedere le autorizzazioni a un principale AWS a livello di registro privato.
L'ambito viene impostato scegliendo la versione della politica del registro. Esistono due versioni con un diverso ambito dei criteri di registro: versione 1 (V1) e versione 2 (V2). V2 è l'ambito esteso della politica di registro che include tutte le autorizzazioni ECR. Per l'elenco completo delle azioni API, consulta la *[Amazon ECR API Guide](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html)*. La versione V2 è l'ambito predefinito della politica di registro. Per ulteriori informazioni sulla visualizzazione o l'impostazione dell'ambito dei criteri di registro, vedere[Passaggio all'ambito esteso della politica di registro](registry-permissions-account-settings.md). Per informazioni sulle impostazioni generali per il tuo registro privato Amazon ECR, consulta[Impostazioni del registro privato in Amazon ECR](registry-settings.md).
Le versioni sono dettagliate come segue.
+ **V1** — Per la versione 1, Amazon ECR applica solo le seguenti autorizzazioni a livello di registro privato.
+ `ecr:ReplicateImage`: concede l'autorizzazione a un altro account, denominato registro di origine, per replicare le immagini nel proprio registro. Questa operazione viene utilizzata solo per la replica tra account.
+ `ecr:BatchImportUpstreamImage`— Concede l'autorizzazione per recuperare l'immagine esterna e importarla nel registro privato.
+ `ecr:CreateRepository` – Concede l'autorizzazione per creare un repository in un registro privato. Questa autorizzazione è necessaria se il repository che archivia le immagini replicate o memorizzate nella cache non esiste già.
+ **V2** — Per la versione 2, Amazon ECR consente tutte le azioni ECR nella policy e applica la policy del registro in tutte le richieste ECR.
È possibile utilizzare la console o la CLI per visualizzare o modificare l'ambito della politica del registro.
**Nota**
Sebbene sia possibile aggiungere l'`ecr:*`azione a una politica di registro privata, è consigliabile aggiungere solo le azioni specifiche richieste in base alla funzionalità che si sta utilizzando anziché utilizzare un carattere jolly.
**Topics**
+ [Esempi di policy di registro privato per Amazon ECR](registry-permissions-examples.md)
+ [Passaggio all'ambito esteso della politica di registro](registry-permissions-account-settings.md)
+ [Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR](registry-permissions-create-replication.md)
+ [Concessione delle autorizzazioni di registro per il pull through cache in Amazon ECR](registry-permissions-create-pullthroughcache.md)
# Esempi di policy di registro privato per Amazon ECR
I seguenti esempi mostrano le dichiarazioni di policy di autorizzazione del registro che è possibile utilizzare per controllare le autorizzazioni degli utenti per il registro Amazon ECR.
**Nota**
In ogni esempio, se l'`ecr:CreateRepository`azione viene rimossa dalla politica del registro, la replica può comunque avvenire. Tuttavia, per la replica corretta, è necessario creare repository con lo stesso nome all'interno dell'account.
## Esempio: consenti a tutti i principali IAM in un account di origine di replicare tutti i repository
La seguente politica di autorizzazione del registro consente a tutti i principali IAM (utenti e ruoli) in un account di origine di replicare tutti i repository.
Tenere presente quanto segue:
+ **Importante:** quando specifichi un Account AWS ID come principale in una policy, concedi l'accesso a tutti gli utenti e i ruoli IAM all'interno di quell'account, non solo all'utente root. Ciò fornisce un ampio accesso all'intero account.
+ **Considerazioni sulla sicurezza:** le autorizzazioni a livello di account concedono l'accesso a tutte le entità IAM nell'account specificato. Per un accesso più restrittivo, specifica i singoli utenti e ruoli IAM o utilizza le istruzioni condizionali per limitare ulteriormente l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
```
------
## Esempio: consenti i principali IAM da più account
La seguente politica sulle autorizzazioni del registro contiene due istruzioni. Ogni istruzione consente a tutti i principali IAM (utenti e ruoli) di un account di origine di replicare tutti i repository.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount1",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
},
{
"Sid":"ReplicationAccessCrossAccount2",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::444455556666:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
}
]
}
```
------
## Esempio: consenti a tutti i principali IAM in un account di origine di replicare tutti i repository con prefisso. `prod-`
La seguente politica di autorizzazione del registro consente a tutti i principali IAM (utenti e ruoli) di un account di origine di replicare tutti i repository che iniziano con. ` prod-`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
]
}
]
}
```
------
# Passaggio all'ambito esteso della politica di registro
**Importante**
Per i nuovi utenti, i registri vengono configurati automaticamente per utilizzare la politica del ` V2` registro al momento della creazione. Non c'è alcuna azione da intraprendere. Amazon ECR non consiglia di tornare alla precedente politica di registro. `V1`
È possibile utilizzare la console o la CLI per visualizzare o modificare l'ambito della politica del registro.
------
#### [ Console di gestione AWS ]
Utilizza i seguenti passaggi per visualizzare le impostazioni del tuo account. Per visualizzare o aggiornare l'ambito della politica del registro, consulta la procedura CLI in questa pagina.
**Attiva la politica di registro avanzata per il tuo registro privato**
1. [Apri la console Amazon ECR su private-registry/repository https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dalla barra di navigazione, scegli la regione.
1. Nel riquadro di navigazione, scegli **Registro privato**, **Funzionalità e impostazioni**, quindi scegli **Autorizzazioni**.
1. Nella pagina **Autorizzazioni**, per la **politica del registro, visualizza la tua politica** JSON. Se hai la politica V1, viene visualizzato un banner con le istruzioni per l'aggiornamento alla V2. Scegli **Abilita **.
Viene visualizzato un banner che indica che l'ambito della politica del registro è stato aggiornato alla V2.
1. Puoi anche configurare facoltativamente le autorizzazioni con la CLI. Per ulteriori informazioni, consulta [Impostazioni del registro privato in Amazon ECR](registry-settings.md).
**Nota**
Per visualizzare o aggiornare l'ambito della politica del registro, consulta la procedura CLI in questa pagina.
------
#### [ AWS CLI ]
Amazon ECR genera la policy del registro V2. Utilizza i seguenti passaggi per visualizzare o aggiornare l'ambito della politica del registro. Non è possibile visualizzare o modificare l'ambito dei criteri di registro nella console
+ Per recuperare la politica del registro attualmente in uso.
```
aws ecr get-account-setting --name REGISTRY_POLICY_SCOPE
```
Il nome del parametro è un campo obbligatorio. Se non fornisci il nome, riceverai il seguente errore:
```
aws: error: the following arguments are required: --name
```
Visualizza l'output del comando Registry Policy. Nell'output di esempio seguente, la versione dei criteri di registro è la V1.
```
{
"name": "REGISTRY_POLICY_SCOPE",
"value": "V1"
}
```
È possibile modificare la versione dei criteri di registro da `V1` a`V2`. La versione V1 non è l'ambito consigliato dei criteri di registro.
```
aws ecr put-account-setting --name REGISTRY_POLICY_SCOPE --value value
```
Ad esempio, utilizzare il comando seguente per eseguire l'aggiornamento alla V2.
```
aws ecr put-account-setting --name REGISTRY_POLICY_SCOPE --value V2
```
Visualizza l'output del comando di policy del registro. Nell'output di esempio seguente, la versione dei criteri di registro è stata aggiornata alla V2.
```
{
"name": "REGISTRY_POLICY_SCOPE",
"value": "V2"
}
```
------
# Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR
Il tipo di policy cross-account viene utilizzato per concedere le autorizzazioni a un AWS principale, permettendo la replica dei repository da un registro di origine al registro dell'utente. Per impostazione predefinita, hai l'autorizzazione per configurare la replica tra regioni all'interno del tuo registro. È necessario configurare le policy di registro solo se si concede a un altro account l'autorizzazione per replicare il contenuto nel registro.
Una policy di registro deve concedere l'autorizzazione per il operazione API `ecr:ReplicateImage`. Questa API è un'API Amazon ECR interna in grado di replicare immagini tra regioni o account. È inoltre possibile concedere l'autorizzazione per il ` ecr:CreateRepository`, che consente ad Amazon ECR di creare repository nel registro se non esistono già. Se l'autorizzazione `ecr:CreateRepository` non viene fornita, nel registro deve essere creato manualmente un repository con lo stesso nome del repository di origine. Se nessuno dei due viene creato, la replica ha esito negativo. Eventuali azioni non riuscite `CreateRepository` o relative `ReplicateImage` all'API vengono visualizzate in. CloudTrail
## Per configurare una policy delle autorizzazioni per la replica (Console di gestione AWS)
1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dalla barra di navigazione, scegli la regione in cui configurare la policy del registro.
1. Nel riquadro di navigazione, scegli **Registro privato**, scegli **Caratteristiche e impostazioni**, quindi scegli **Autorizzazioni**.
1. Alla pagina **Registry permissions (Autorizzazioni di registro)**, scegli **Generate statement (Genera istruzione)**.
1. Per definire la tua istruzione di policy usando il generatore di policy, completa i seguenti passaggi.
1. Per **Tipo di policy**, scegli **Replica - cross account**.
1. Per **ID dichiarazione**, inserisci un ID di dichiarazione univoco. Questo campo viene utilizzato come `Sid` sulle policy di registro.
1. Per **Account**, inserisci l'account IDs per ogni account a cui desideri concedere le autorizzazioni. Quando specificate più account IDs, separateli con una virgola.
1. Scegli **Save** (Salva).
## Per configurare una policy delle autorizzazioni per la replica (AWS CLI)
1. Creare un file denominato `registry_policy.json` e popolarlo con una policy di registro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
```
------
1. Creare le policy di registro utilizzando il file delle policy.
```
aws ecr put-registry-policy \
--policy-text file://registry_policy.json \
--region us-west-2
```
1. Recuperare le policy di registro da confermare.
```
aws ecr get-registry-policy \
--region us-west-2
```
# Concessione delle autorizzazioni di registro per il pull through cache in Amazon ECR
Le autorizzazioni del registro privato di Amazon ECR possono essere utilizzate per definire le autorizzazioni delle singole entità IAM per utilizzare la cache pull-through. Se un'entità IAM dispone di più autorizzazioni concesse da una policy IAM di quelle concesse dalla policy delle autorizzazioni del registro, la policy IAM ha la precedenza.
**Per creare una policy delle autorizzazioni del registro privato (Console di gestione AWS)**
1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dalla barra di navigazione, scegli la regione in cui configurare l'istruzione delle autorizzazioni del registro privato.
1. Nel riquadro di navigazione, scegli **Registro privato**, scegli **Caratteristiche e impostazioni**, quindi scegli **Autorizzazioni**.
1. Alla pagina **Registry permissions (Autorizzazioni di registro)**, scegli **Generate statement (Genera istruzione)**.
1. Per ogni istruzione delle policy di autorizzazione della cache pull-through che si desidera creare, procedi come segue.
1. Per **Policy type (Tipo di policy)**, scegli **Pull through cache policy (Policy della cache pull-through)**.
1. Per **Statement id (ID istruzione)**, inserisci un nome per la policy dell'istruzione della cache pull-through.
1. Per **Entità IAM**, specifica gli utenti, i gruppi o i ruoli da includere nella policy.
1. Per lo spazio **dei nomi Cache**, seleziona la regola pull through cache a cui associare la policy.
1. Per **Repository names (Nomi dei repository)**, specifica il nome di base del repository per cui applicare la regola. Ad esempio, se si desidera specificare il repository Amazon Linux su Amazon ECR Public, il nome del repository sarà ` amazonlinux`.