기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon ECR에서 프라이빗 이미지 복제
리포지토리 복제를 지원하도록 Amazon ECR 프라이빗 레지스트리를 구성할 수 있습니다. Amazon ECR은 리전 간 복제와 교차 계정 복제를 모두 지원합니다. 교차 계정 복제가 발생하려면 대상 계정이 소스 레지스트리에서 복제가 수행되도록 레지스트리 권한 정책을 구성해야 합니다. 자세한 내용은 Amazon ECR의 프라이빗 레지스트리 권한 단원을 참조하십시오.
주제
교차 계정 복제 정책 요구 사항
교차 계정 ECR 복제가 제대로 작동하려면 구성된 정책이 필요한 계정을 이해해야 합니다. 이 섹션에서는 소스 계정과 대상 계정 모두에 대한 정책 요구 사항을 명확히 설명합니다.
정책 구성 개요
교차 계정 ECR 복제에는 대상 계정에 대한 정책 구성만 필요합니다. 소스 계정에는 특별한 리포지토리 또는 레지스트리 정책이 필요하지 않습니다.
-
소스 계정: 레지스트리 설정에서 복제 규칙을 구성합니다. 소스 리포지토리에는 추가 정책이 필요하지 않습니다.
-
대상 계정: 소스 계정이 이미지를 복제할 수 있도록 레지스트리 권한 정책을 구성합니다.
대상 레지스트리 정책 요구 사항
대상 계정은 소스 계정에 다음 작업을 수행할 수 있는 권한을 부여하는 레지스트리 권한 정책을 구성해야 합니다.
-
ecr:ReplicateImage- 소스 계정이 대상 레지스트리에 이미지를 복제하도록 허용 -
ecr:CreateRepository- ECR이 대상 레지스트리에 리포지토리가 아직 없는 경우 자동으로 생성할 수 있도록 허용합니다.
중요
ecr:CreateRepository 권한을 부여하지 않으면 복제에 성공하기 전에 대상 계정에서 동일한 이름으로 리포지토리를 수동으로 생성해야 합니다.
대상 레지스트리 정책의 예:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCrossAccountReplication", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:root" }, "Action": [ "ecr:ReplicateImage", "ecr:CreateRepository" ] } ] }
소스 계정 요구 사항
소스 계정은 다음 작업만 수행하면 됩니다.
-
레지스트리 설정에서 복제 규칙을 구성하여 대상 계정 및 리전을 지정합니다.
-
복제를 구성하는 IAM 보안 주체에 필요한 ECR 권한이 있는지 확인합니다.
소스 리포지토리에는 추가 정책이 필요하지 않습니다. 소스 리포지토리에는 복제 권한을 부여하는 리포지토리 정책이 필요하지 않습니다.
일반적인 오해
다음은 ECR 교차 계정 복제 정책에 대한 일반적인 오해입니다.
-
오해: 소스 리포지토리에는 대상 계정이 이미지를 복제하도록 허용하는 정책이 필요합니다.
현실: 소스 리포지토리에는 복제에 대한 특별한 정책이 필요하지 않습니다.
-
오해: 소스 계정과 대상 계정 모두에 레지스트리 정책이 필요합니다.
현실: 대상 계정에만 레지스트리 권한 정책이 필요합니다.
-
오해: 리포지토리 정책과 레지스트리 정책은 동일합니다.
현실: 리포지토리 정책은 개별 리포지토리에 대한 액세스를 제어하는 반면, 레지스트리 정책은 복제와 같은 레지스트리 수준 작업을 제어합니다.
복제 실패 문제 해결
교차 계정 복제에 실패하는 경우 다음을 확인합니다.
-
대상 계정에 레지스트리 권한 정책이 구성되어 있는지 확인
-
레지스트리 정책에
ecr:ReplicateImage및ecr:CreateRepository작업이 모두 포함되어 있는지 확인합니다. -
대상 레지스트리 정책에 소스 계정 ID가 올바르게 지정되었는지 확인
-
대상 리포지토리가 존재하는지 확인합니다(
ecr:CreateRepository가 부여되지 않은 경우). -
실패한
CreateRepository또는ReplicateImageAPI 호출에 대한 CloudTrail 로그 검토
프라이빗 이미지 복제 관련 고려 사항
프라이빗 이미지 복제를 사용할 때는 다음 사항을 고려해야 합니다.
-
복제가 구성된 이후에 리포지토리로 푸시된 리포지토리 콘텐츠만 복제됩니다. 리포지토리의 기존 콘텐츠는 복제되지 않습니다. 리포지토리에 대한 복제가 구성되면 Amazon ECR은 대상과 소스를 동기화된 상태로 유지합니다.
-
리포지토리 이름은 복제가 수행된 경우 여러 리전과 계정에서 동일하게 유지됩니다. Amazon ECR은 복제 중에 리포지토리 이름 변경을 지원하지 않습니다.
-
Amazon ECR은 복제에 대한 프라이빗 레지스트리를 처음 구성할 때 사용자를 대신하여 서비스 연결 IAM 역할을 생성합니다. 서비스 연결 IAM 역할은 Amazon ECR 복제 서비스에 리포지토리를 생성하고 레지스트리에서 이미지를 복제하는 데 필요한 권한을 부여합니다. 자세한 내용은 Amazon ECR에 대한 서비스 연결 역할 사용 단원을 참조하십시오.
-
교차 계정 복제가 발생하려면 프라이빗 레지스트리 대상에서 원본 레지스트리에서 해당 이미지를 복제할 수 있는 권한을 부여해야 합니다. 이 작업은 프라이빗 레지스트리 권한 정책을 설정하여 수행됩니다. 자세한 내용은 Amazon ECR의 프라이빗 레지스트리 권한 단원을 참조하십시오.
-
프라이빗 레지스트리에 대한 권한 정책이 권한을 제거하도록 변경되면 이전에 부여된 진행 중인 복제가 완료될 수 있습니다.
-
리전 간 복제를 수행하려면 해당 리전 내에서 또는 리전에 대한 복제 작업을 수행하기 전에 소스 계정과 대상 계정을 모두 리전에 옵트인해야 합니다. 자세한 내용은Amazon Web Services 일반 참조의 AWS 리전 관리를 참조하세요.
-
AWS 파티션 간에는 교차 리전 복제가 지원되지 않습니다. 예를 들어,
us-west-2의 리포지토리는cn-north-1에 복제할 수 없습니다. AWS 파티션에 대한 자세한 내용은 AWS 일반 참조의 ARN 형식을 참조하세요. -
프라이빗 레지스트리에 대한 복제 구성에는 모든 규칙에서 최대 25개의 고유 대상이 포함될 수 있으며 최대 10개의 규칙이 포함됩니다. 각 규칙에는 최대 100개의 필터가 포함될 수 있습니다. 이를 통해 예를 들어, 프로덕션 및 테스트에 사용되는 이미지가 포함된 리포지토리에 대해 별도의 규칙을 지정할 수 있습니다.
-
복제 구성은 리포지토리 접두사를 지정하여 프라이빗 레지스트리에서 복제되는 리포지토리 필터링을 지원합니다. 예제는 예제: 리포지토리 필터를 사용하여 교차 리전 복제 구성 섹션을 참조하세요.
-
복제 작업은 이미지 푸시당 한 번만 발생합니다. 예를 들어,
us-west-2에서us-east-1로 그리고us-east-1에서us-east-2로 교차 리전 복제를 구성한 경우us-west-2로 푸시된 이미지는us-east-1으로만 복제를 하고us-east-2로 다시 복제하지 않습니다. 이 동작은 교차 리전 및 교차 계정 복제에 모두 적용됩니다. -
대부분의 이미지는 30분 이내에 복제되지만 드문 경우 복제에 시간이 더 오래 걸릴 수 있습니다.
-
레지스트리 복제는 삭제 작업을 수행하지 않습니다. 복제된 이미지와 리포지토리는 더 이상 사용되지 않을 때 수동으로 삭제할 수 있습니다.
-
IAM 정책 및 수명 주기 정책을 비롯한 리포지토리 정책은 복제되지 않으며 정의된 리포지토리 외에는 영향을 주지 않습니다.
-
리포지토리 설정은 기본적으로 복제되지 않으며, 리포지토리 생성 템플릿을 사용하여 리포지토리 설정을 복제할 수 있습니다. 이러한 설정에는 태그 변경 가능성, 암호화, 리포지토리 권한 및 수명 주기 정책이 포함됩니다. 리포지토리 생성 템플릿에 대한 자세한 내용은 섹션을 참조하세요풀스루 캐시 또는 복제 작업 중에 생성되는 리포지토리를 제어하는 템플릿.
-
리포지토리에서 태그 불변성이 활성화되어 있고 기존 이미지와 동일한 태그를 사용하는 이미지가 복제되면 이미지가 복제되지만 중복된 태그는 포함되지 않습니다. 이로 인해 이미지에 태그가 지정되지 않을 수 있습니다.
