プルスルーキャッシュの Amazon ECR サービスにリンクされたロール - Amazon ECR
Amazon ECR でのサービスにリンクされたロールのアクセス許可Amazon ECR でのサービスにリンクされたロールの作成Amazon ECR でのサービスにリンクされたロールの編集Amazon ECR でのサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プルスルーキャッシュの Amazon ECR サービスにリンクされたロール

Amazon ECRは、Amazon ECR がユーザーに代わってプルスルーキャッシュワークフローを使用してリポジトリにイメージをプッシュするためのアクセス許可を付与する、AWSServiceRoleForECRPullThroughCache という名前のサービスにリンクされたロールを使用します。プルスルーの詳細については、「プルスルーキャッシュまたはレプリケーションアクション中に作成されたリポジトリを制御するテンプレート」を参照してください。

Amazon ECR でのサービスにリンクされたロールのアクセス許可

AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • pullthroughcache.ecr.amazonaws.com

アクセス許可の詳細

AWSECRPullThroughCache_ServiceRolePolicy 許可ポリシーは、サービスにリンクされたロールにアタッチされます。この管理ポリシーは Amazon ECR に以下のアクションを実行する許可を付与します。詳細については、「AWSECRPullThroughCache_ServiceRolePolicy」を参照してください。

  • ecr – Amazon ECR サービスがイメージをプルしてプライベートリポジトリにプッシュできるようにします。

  • secretsmanager:GetSecretValue – Amazon ECR サービスが AWS Secrets Manager シークレットの暗号化されたコンテンツを取得できるようにします。これは、プルスルーキャッシュルールを使用して、プライベートレジストリの認証が必要なアップストリームレジストリからイメージをキャッシュする場合に必要です。この許可は、ecr-pullthroughcache/ という名前のプレフィックスが付いたシークレットのみに適用されます。

AWSECRPullThroughCache_ServiceRolePolicy ポリシーには、次の JSON が含まれます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECR",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage",
                "ecr:BatchGetImage",
                "ecr:BatchImportUpstreamImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetImageCopyStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

アクセス許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

Amazon ECR でのサービスにリンクされたロールの作成

プルスルーキャッシュの Amazon ECR サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API でプライベートレジストリのプルスルーキャッシュルールを作成すると、Amazon ECR によってサービスにリンクされたロールが作成されます。

このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。プライベートレジストリーのプルスルーキャッシュルールを作成すると、サービスにリンクされたロールがまだ存在しない場合は、Amazon ECR によって自動的に作成されます。

Amazon ECR でのサービスにリンクされたロールの編集

Amazon ECR は、AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールの手動での編集を許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Amazon ECR でのサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンでレジストリのプルスルーキャッシュルールを削除する必要があります。

注記

Amazon ECR サービスがロールをまだ使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。

AWSServiceRoleForECRPullThroughCache サービスリンクロールが使用している Amazon ECR リソースを削除するには

  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. ナビゲーションバーから、プルスルーキャッシュルールを作成するリージョンを選択します。

  3. ナビゲーションペインで、[Private registry] (プライベートレジストリ) を選択します。

  4. [Private registry] (プライベートレジストリ) ページの [Pull through cache configuration] (プルスルーキャッシュの設定) セクションで、[Edit] (編集) をクリックします。

  5. 作成したプルスルーキャッシュルールごとに、ルールを選択し、[Delete rule] (ルールを削除) を選択します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。