Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR - Amazon ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni di registro per la replica tra account in Amazon ECR

Il tipo di policy tra account viene utilizzato per concedere autorizzazioni a un AWS principale, consentendo la replica dei repository da un registro di origine al registro dell'utente. Per impostazione predefinita, hai l'autorizzazione per configurare la replica tra regioni all'interno del tuo registro. È necessario configurare le policy di registro solo se si concede a un altro account l'autorizzazione per replicare il contenuto nel registro.

Una policy di registro deve concedere l'autorizzazione per il operazione API ecr:ReplicateImage. Questa API è un'API Amazon ECR interna in grado di replicare immagini tra regioni o account. È inoltre possibile concedere l'autorizzazione per il ecr:CreateRepository, che consente ad Amazon ECR di creare repository nel registro se non esistono già. Se l'autorizzazione ecr:CreateRepository non viene fornita, nel registro deve essere creato manualmente un repository con lo stesso nome del repository di origine. Se nessuno dei due viene creato, la replica ha esito negativo. Tutte le azioni non riuscite CreateRepository o relative ReplicateImage all'API vengono visualizzate in. CloudTrail

  1. Apri la console Amazon ECR all'indirizzo https://console.aws.amazon.com/ecr/.

  2. Dalla barra di navigazione, scegli la regione in cui configurare la policy del registro.

  3. Nel riquadro di navigazione, scegli Registro privato, scegli Caratteristiche e impostazioni, quindi scegli Autorizzazioni.

  4. Alla pagina Registry permissions (Autorizzazioni di registro), scegli Generate statement (Genera istruzione).

  5. Per definire la tua istruzione di policy usando il generatore di policy, completa i seguenti passaggi.

    1. Per Tipo di policy, scegli Replica - cross account.

    2. Per ID dichiarazione, inserisci un ID di dichiarazione univoco. Questo campo viene utilizzato come Sid sulle policy di registro.

    3. Per Account, inserisci l'account IDs per ogni account a cui desideri concedere le autorizzazioni. Quando specificate più account IDs, separateli con una virgola.

  6. Scegli Save (Salva).

  1. Creare un file denominato registry_policy.json e popolarlo con una policy di registro.

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. Creare le policy di registro utilizzando il file delle policy.

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. Recuperare le policy di registro da confermare.

    aws ecr get-registry-policy \
      --region us-west-2