기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
교차 계정 ECR에서 ECR PTC로의 권한 설정
Amazon ECR에서 Amazon ECR로(ECR에서 ECR로) 풀스루 캐시 기능을 사용하면 리전, AWS 계정 또는 둘 다 간에 이미지를 자동으로 동기화할 수 있습니다. ECR에서 ECR PTC로 이미지를 기본 Amazon ECR 레지스트리로 푸시하고 풀스루 캐시 규칙을 구성하여 다운스트림 Amazon ECR 레지스트리의 이미지를 캐싱할 수 있습니다.
교차 계정 ECR에서 ECR로의 풀스루 캐시에 필요한 IAM 정책
여러 AWS 계정의 Amazon ECR 레지스트리 간에 이미지를 캐시하려면 다운스트림 계정에서 IAM 역할을 생성하고이 섹션의 정책을 구성하여 다음 권한을 제공합니다.
-
Amazon ECR에는 사용자를 대신하여 업스트림 Amazon ECR 레지스트리에서 이미지를 가져올 수 있는 권한이 필요합니다. IAM 역할을 생성한 다음 풀스루 캐시 규칙에 지정하여 이러한 권한을 부여할 수 있습니다.
-
또한 업스트림 레지스트리 소유자는 캐시 레지스트리 소유자에게 이미지를 리소스 정책으로 가져오는 데 필요한 권한을 부여해야 합니다.
풀스루 캐시 권한을 정의하는 IAM 역할 생성
다음 예제는 사용자를 대신하여 업스트림 Amazon ECR 레지스트리에서 이미지를 가져올 수 있는 권한을 IAM 역할에 부여하는 권한 정책을 보여줍니다. Amazon ECR은 역할을 수임할 때이 정책에 지정된 권한을 받습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken", "ecr:BatchImportUpstreamImage", "ecr:BatchGetImage", "ecr:GetImageCopyStatus", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
IAM 역할에 대한 신뢰 정책 생성
다음 예제는 Amazon ECR 풀스루 캐시를 역할을 수임할 수 있는 AWS 서비스 보안 주체로 식별하는 신뢰 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "pullthroughcache.ecr.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
업스트림 Amazon ECR 레지스트리에서 리소스 정책 생성
또한 업스트림 Amazon ECR 레지스트리 소유자는 레지스트리 정책 또는 리포지토리 정책을 추가하여 다운스트림 레지스트리 소유자에게 다음 작업을 수행하는 데 필요한 권한을 부여해야 합니다.
{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:root" }, "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage", "ecr:GetImageCopyStatus" ], "Resource": "arn:aws:ecr:region:111122223333:repository/*" }
