Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account

Impostazione delle autorizzazioni per più account da ECR a ECR PTC

La funzionalità pull through cache da Amazon ECR ad Amazon ECR (da ECR a ECR) consente la sincronizzazione automatica delle immagini tra regioni, AWS account o entrambi. Con ECR to ECR PTC, puoi inviare immagini al registro Amazon ECR principale e configurare una regola pull through cache per memorizzare nella cache le immagini nei registri Amazon ECR downstream.

Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account

Per memorizzare nella cache le immagini tra i registri Amazon ECR su AWS account diversi, crea un ruolo IAM nell'account downstream e configura le policy in questa sezione per fornire le seguenti autorizzazioni:

Amazon ECR necessita delle autorizzazioni per estrarre immagini dal registro Amazon ECR upstream per tuo conto. Puoi concedere queste autorizzazioni creando un ruolo IAM e poi specificandolo nella regola pull through cache.
Il proprietario del registro a monte deve inoltre concedere al proprietario del registro di cache le autorizzazioni necessarie per inserire le immagini nelle politiche delle risorse.

Policy

Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache
Creazione di una politica di fiducia per il ruolo IAM
Creazione di una politica delle risorse nel registro Amazon ECR a monte

Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache

L'esempio seguente mostra una politica di autorizzazioni che concede a un ruolo IAM l'autorizzazione a estrarre immagini dal registro Amazon ECR a monte per tuo conto. Quando Amazon ECR assume il ruolo, riceve le autorizzazioni specificate in questa politica.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Creazione di una politica di fiducia per il ruolo IAM

L'esempio seguente mostra una policy di fiducia che identifica il pull through cache di Amazon ECR come principale del AWS servizio che può assumere il ruolo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Creazione di una politica delle risorse nel registro Amazon ECR a monte

Il proprietario del registro Amazon ECR a monte deve inoltre aggiungere una politica di registro o una politica di repository per concedere al proprietario del registro a valle le autorizzazioni necessarie per eseguire le seguenti azioni.


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni IAM richieste

Creazione di una regola di cache pull-through