Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Impostazione delle autorizzazioni per più account da ECR a ECR PTC
La funzionalità pull through cache da Amazon ECR ad Amazon ECR (da ECR a ECR) consente la sincronizzazione automatica delle immagini tra regioni, AWS account o entrambi. Con ECR to ECR PTC, puoi inviare immagini al registro Amazon ECR principale e configurare una regola pull through cache per memorizzare nella cache le immagini nei registri Amazon ECR downstream.
## Le politiche IAM sono necessarie per il pull through della cache da ECR a ECR su più account
Per memorizzare nella cache le immagini tra i registri Amazon ECR su AWS account diversi, crea un ruolo IAM nell'account downstream e configura le policy in questa sezione per fornire le seguenti autorizzazioni:
+ Amazon ECR necessita delle autorizzazioni per estrarre immagini dal registro Amazon ECR upstream per tuo conto. Puoi concedere queste autorizzazioni creando un ruolo IAM e poi specificandolo nella regola pull through cache.
+ Il proprietario del registro a monte deve inoltre concedere al proprietario del registro di cache le autorizzazioni necessarie per inserire le immagini nelle politiche delle risorse.
**Topics**
+ [Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [Creazione di una politica di fiducia per il ruolo IAM](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [Creazione di una politica delle risorse nel registro Amazon ECR a monte](#ecr-creating-registry-permissions-policy-in-upstream-registry)
### Creazione di un ruolo IAM per definire le autorizzazioni di pull through cache
L'esempio seguente mostra una politica di autorizzazioni che concede a un ruolo IAM l'autorizzazione a estrarre immagini dal registro Amazon ECR a monte per tuo conto. Quando Amazon ECR assume il ruolo, riceve le autorizzazioni specificate in questa politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"ecr:BatchImportUpstreamImage",
"ecr:BatchGetImage",
"ecr:GetImageCopyStatus",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource": "*"
}
]
}
```
------
### Creazione di una politica di fiducia per il ruolo IAM
L'esempio seguente mostra una policy di fiducia che identifica il pull through cache di Amazon ECR come principale del AWS servizio che può assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pullthroughcache.ecr.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Creazione di una politica delle risorse nel registro Amazon ECR a monte
Il proprietario del registro Amazon ECR a monte deve inoltre aggiungere una politica di registro o una politica di repository per concedere al proprietario del registro a valle le autorizzazioni necessarie per eseguire le seguenti azioni.
**Nota**
La seguente politica delle risorse è richiesta solo per le configurazioni di pull through cache da ECR a ECR **tra account**. Per la cache pull **through dello stesso account e tra più regioni,** sono necessarie solo la policy di ruolo IAM e la policy di fiducia mostrate nelle sezioni precedenti. L'autorizzazione principale dell'account root non è richiesta quando i registri upstream e downstream si trovano nello stesso account. AWS
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchImportUpstreamImage",
"ecr:GetImageCopyStatus"
],
"Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```