Utilizzo delle autorizzazioni di registro Passaggi successivi

Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR

Oltre alle autorizzazioni dell'API Amazon ECR necessarie per l'autenticazione in un registro privato e per l'invio e l'estrazione di immagini, sono necessarie le seguenti autorizzazioni aggiuntive per utilizzare efficacemente le regole di cache pull-through.

ecr:CreatePullThroughCacheRule – Concede l'autorizzazione per creare una nuova regola di cache pull-through. Questa autorizzazione deve essere concessa tramite una policy IAM basata sull'identità.
ecr:BatchImportUpstreamImage— Concede l'autorizzazione per recuperare l'immagine esterna e importarla nel registro privato. Questa autorizzazione può essere concessa utilizzando la policy delle autorizzazioni del registro privato, una policy IAM basata sull'identità o utilizzando la policy delle autorizzazioni del repository basate sulle risorse. Per ulteriori informazioni sull'uso delle autorizzazioni del repository, consulta Politiche di repository privati in Amazon ECR.
ecr:CreateRepository – Concede l'autorizzazione per creare un repository in un registro privato. Questa autorizzazione è necessaria se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Questa autorizzazione può essere concessa da una policy IAM basata sull'identità o dalla policy delle autorizzazioni del registro privato.

Utilizzo delle autorizzazioni di registro

Le autorizzazioni del registro privato di Amazon ECR possono essere utilizzate per definire le autorizzazioni delle singole entità IAM per utilizzare la cache pull-through. Se un'entità IAM dispone di più autorizzazioni concesse da una policy IAM di quelle concesse dalla policy delle autorizzazioni del registro, la policy IAM ha la precedenza. Ad esempio, se a un utente sono state concesse autorizzazioni ecr:*, non occorrono altre autorizzazioni a livello di registro.

Apri la console Amazon ECR all'indirizzo https://console.aws.amazon.com/ecr/.
Dalla barra di navigazione, scegli la regione in cui configurare l'istruzione delle autorizzazioni del registro privato.
Nel pannello di navigazione, seleziona Private registry (Registro privato), Registry permissions (Autorizzazioni di registro).
Alla pagina Registry permissions (Autorizzazioni di registro), scegli Generate statement (Genera istruzione).
Per ogni istruzione delle policy di autorizzazione della cache pull-through che si desidera creare, procedi come segue.
1. Per Policy type (Tipo di policy), scegli Pull through cache policy (Policy della cache pull-through).
2. Per Statement id (ID istruzione), inserisci un nome per la policy dell'istruzione della cache pull-through.
3. Per Entità IAM, specifica gli utenti, i gruppi o i ruoli da includere nella policy.
4. Per Repository namespace (Spazio dei nomi del repository), seleziona la regola della cache pull-through a cui associare la policy.
5. Per Repository names (Nomi dei repository), specifica il nome di base del repository per cui applicare la regola. Ad esempio, se si desidera specificare il repository Amazon Linux su Amazon ECR Public, il nome del repository sarà amazonlinux.

Usa il seguente AWS CLI comando per specificare le autorizzazioni del registro privato utilizzando. AWS CLI

Crea un file locale denominato ptc-registry-policy.json con il contenuto della policy del registro. L'esempio seguente concede l'autorizzazione ecr-pull-through-cache-user per creare un repository ed eseguire il pull di un'immagine da Amazon ECR Public, che è l'origine upstream associata alla regola cache pull-through creata precedentemente.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PullThroughCacheFromReadOnlyRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
      },
      "Action": [
        "ecr:CreateRepository",
        "ecr:BatchImportUpstreamImage"
      ],
      "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
    }
  ]
} 
```
Importante
L'autorizzazione ecr-CreateRepository è necessaria solo se il repository che memorizza le immagini memorizzate nella cache non è già esistente. Ad esempio, se l'operazione di creazione del repository e le operazioni di estrazione dell'immagine vengono eseguite da principali IAM separati come un amministratore e uno sviluppatore.

Utilizzare il put-registry-policycomando per impostare la politica del registro.


aws ecr put-registry-policy \
     --policy-text file://ptc-registry.policy.json

Passaggi successivi

Quando sei pronto a cominciare a utilizzare le regole di cache pull-through, attieniti ai passaggi seguenti.

Crea una regola di cache pull-through. Per ulteriori informazioni, consulta Creazione di una regola pull through cache in Amazon ECR.
Crea un modello di creazione repository. Un modello di creazione repository ti consente di gestire la definizione delle impostazioni da utilizzare per i nuovi repository creati da Amazon ECR per tuo conto nel corso di un'operazione di estrazione di cache pull-through. Per ulteriori informazioni, consulta Modelli per controllare i repository creati durante un'azione di pull through, cache o replica.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sincronizza un registro upstream

Impostazione delle autorizzazioni da ECR a ECR PTC su più account

Autorizzazioni IAM necessarie per sincronizzare un registro upstream con un registro privato Amazon ECR

Utilizzo delle autorizzazioni di registro

Importante

Passaggi successivi