翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# クロスアカウント ECR から ECR PTC へのアクセス許可を設定する
<a name="pull-through-cache-private"></a>

Amazon ECR から Amazon ECR (ECR から ECR) へのプルスルーキャッシュ機能を使用すると、リージョン、 AWS アカウント、またはその両方間でイメージを自動的に同期できます。ECR to ECR PTC を使用すると、プライマリ Amazon ECR レジストリにイメージをプッシュし、ダウンストリーム Amazon ECR レジストリにイメージをキャッシュするようにプルスルーキャッシュルールを設定できます。

## クロスアカウント ECR から ECR へのプルスルーキャッシュに必要な IAM ポリシー
<a name="pull-through-cache-private-permissions"></a>

異なる AWS アカウント間で Amazon ECR レジストリ間でイメージをキャッシュするには、ダウンストリームアカウントに IAM ロールを作成し、このセクションのポリシーを設定して、次のアクセス許可を付与します。
+ Amazon ECR には、ユーザーに代わってアップストリーム Amazon ECR レジストリからイメージをプルするためのアクセス許可が必要です。これらのアクセス許可を付与するには、IAM ロールを作成し、プルスルーキャッシュルールで指定します。
+ アップストリームレジストリ所有者は、イメージをリソースポリシーにプルするために必要なアクセス許可をキャッシュレジストリ所有者に付与する必要があります。

**Topics**
+ [プルスルーキャッシュのアクセス許可を定義する IAM ロールを作成する](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [IAM ロールの信頼ポリシーを作成する](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [アップストリーム Amazon ECR レジストリでリソースポリシーを作成する](#ecr-creating-registry-permissions-policy-in-upstream-registry)

### プルスルーキャッシュのアクセス許可を定義する IAM ロールを作成する
<a name="ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache"></a>

次の例は、ユーザーに代わってアップストリーム Amazon ECR レジストリからイメージをプルするアクセス許可を IAM ロールに付与するアクセス許可ポリシーを示しています。Amazon ECR がこのロールを引き受ける場合、このポリシーで指定されたアクセス許可を受け取ります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### IAM ロールの信頼ポリシーを作成する
<a name="ecr-creating-a-trust-policy-for-the-iam-role"></a>

次の例は、ロールを引き受けることができる AWS サービスプリンシパルとして Amazon ECR プルスルーキャッシュを識別する信頼ポリシーを示しています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

### アップストリーム Amazon ECR レジストリでリソースポリシーを作成する
<a name="ecr-creating-registry-permissions-policy-in-upstream-registry"></a>

アップストリーム Amazon ECR レジストリ所有者は、レジストリポリシーまたはリポジトリポリシーを追加して、ダウンストリームレジストリ所有者に次のアクションを実行するために必要なアクセス許可を付与する必要があります。

**注記**  
次のリソースポリシーは、**クロスアカウント ECR から** ECR へのプルスルーキャッシュ設定にのみ必要です。**同じアカウント、クロスリージョン**のプルスルーキャッシュの場合、前のセクションで示した IAM ロールポリシーと信頼ポリシーのみが必要です。アップストリームレジストリとダウンストリームレジストリが同じアカウントにある場合、ルート AWS アカウントプリンシパルのアクセス許可は必要ありません。

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```