翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クロスアカウント ECR から ECR PTC へのアクセス許可の設定
Amazon ECR から Amazon ECR (ECR から ECR) へのプルスルーキャッシュ機能を使用すると、リージョン、 AWS アカウント、またはその両方間でイメージを自動的に同期できます。ECR to ECR PTC を使用すると、プライマリ Amazon ECR レジストリにイメージをプッシュし、プルスルーキャッシュルールを設定して、ダウンストリーム Amazon ECR レジストリにイメージをキャッシュできます。
クロスアカウント ECR から ECR へのプルスルーキャッシュに必要な IAM ポリシー
異なる AWS アカウント間で Amazon ECR レジストリ間でイメージをキャッシュするには、ダウンストリームアカウントに IAM ロールを作成し、このセクションのポリシーを設定して、次のアクセス許可を付与します。
-
Amazon ECR には、ユーザーに代わってアップストリームの Amazon ECR レジストリからイメージをプルするためのアクセス許可が必要です。これらのアクセス許可を付与するには、IAM ロールを作成し、プルスルーキャッシュルールで指定します。
-
アップストリームレジストリ所有者は、イメージをリソースポリシーにプルするために必要なアクセス許可をキャッシュレジストリ所有者に付与する必要があります。
プルスルーキャッシュのアクセス許可を定義する IAM ロールの作成
次の例は、ユーザーに代わってアップストリーム Amazon ECR レジストリからイメージをプルするアクセス許可を IAM ロールに付与するアクセス許可ポリシーを示しています。Amazon ECR がロールを引き受けると、このポリシーで指定されたアクセス許可を受け取ります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken", "ecr:BatchImportUpstreamImage", "ecr:BatchGetImage", "ecr:GetImageCopyStatus", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
IAM ロールの信頼ポリシーの作成
次の例は、ロールを引き受けることができる AWS サービスプリンシパルとして Amazon ECR プルスルーキャッシュを識別する信頼ポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "pullthroughcache.ecr.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
アップストリーム Amazon ECR レジストリでのリソースポリシーの作成
アップストリーム Amazon ECR レジストリ所有者は、レジストリポリシーまたはリポジトリポリシーを追加して、ダウンストリームレジストリ所有者に次のアクションを実行するために必要なアクセス許可を付与する必要があります。
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:root" }, "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage", "ecr:GetImageCopyStatus" ], "Resource": "arn:aws:ecr:region:111122223333:repository/*" }
