Fazer solicitações aos registros do Amazon ECR - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fazer solicitações aos registros do Amazon ECR

Você pode enviar, extrair, excluir, visualizar e gerenciar imagens OCI, imagens Docker e artefatos compatíveis com OCI nos registros privados do Amazon ECR usando IPv4 apenas endpoints ou endpoints de pilha dupla (e). IPv4 IPv6 Para fazer solicitações de IPv4 redes, você pode usar pilha dupla ou endpoints. IPv4 Para fazer solicitações de uma IPv6 rede, use um endpoint de pilha dupla. Para obter mais informações sobre como fazer solicitações aos registros públicos do Amazon ECR usando IPv4 endpoints de pilha dupla, consulte Fazer solicitações aos registros públicos do Amazon ECR. Não há cobranças adicionais para acessar o Amazon ECR. IPv6 Para obter mais informações sobre preços, consulte os preços do Amazon Elastic Container Registry.

nota

O Amazon ECR não oferece suporte ao AWS PrivateLink tráfego em endpoints de pilha dupla. Você deve usar endpoints Amazon ECR IPv4 somente se precisar de suporte. AWS PrivateLink

Os endpoints do Amazon ECR são designados por atributos além do suporte IPv4 exclusivo para endpoints ou endpoints de pilha dupla. Esses atributos podem incluir:

  • Região — Cada endpoint é específico de uma região.

  • Tipo — A seleção do endpoint depende se você está usando as interfaces de linha de comando Docker e compatíveis com AWS SDK ou OCI.

  • Segurança — Em regiões selecionadas, o Amazon ECR oferece endpoints compatíveis com FIPS. Para obter mais informações sobre uma lista de endpoints Amazon ECR compatíveis com FIPS, consulte Federal Information Processing Standard (FIPS) 140-3.

Para obter mais informações sobre endpoints de serviço suportados pelo cliente dual-stack IPv4, Docker e OCI, que processa chamadas de API do Amazon ECR a partir da CLI AWS , consulte Service endpoints. AWS SDKs

Começando a fazer solicitações sobre IPv6

Para fazer uma solicitação para um registro do Amazon ECR IPv6, você precisa usar um endpoint de pilha dupla. Antes de acessar um registro do Amazon ECR IPv6, verifique os seguintes requisitos:

  • Seu cliente e sua rede devem oferecer suporte IPv6.

  • O Amazon ECR oferece suporte aos seguintes tipos de solicitação em IPv6:

    • Solicitações de clientes OCI e Docker:

      <registry-id>.dkr-ecr.<aws-region>.on.aws

    • AWS Solicitações de API:

      ecr.<aws-region>.api.aws

  • Você deve atualizar qualquer política AWS Identity and Access Management (IAM) ou de registro que use a filtragem de endereços IP de origem para incluir intervalos de IPv6 endereços. Para obter mais informações, consulte Usando IPv6 endereços nas políticas do IAM.

  • Quando você usa IPv6, os registros de acesso ao servidor exibem Remote IP endereços em IPv6 formato. Atualize suas ferramentas, scripts e software existentes para analisar esses endereços IPv6 IP formatados.

    nota

    Se você tiver problemas relacionados à presença de IPv6 endereços nos arquivos de log, entre em contato com AWS Support.

Testar a compatibilidade com endereços IP

Se você estiver usando Linux/Unix ou Mac OS X, poderá testar se é possível acessar um endpoint de pilha dupla IPv6 usando o comando, conforme mostrado no exemplo a curl seguir:

curl --verbose https://ecr.us-west-2.api.aws

Você recebe de volta informações semelhantes ao exemplo a seguir. Se você estiver conectado IPv6 pelo endereço IP conectado, será um IPv6 endereço.

* About to connect() to ecr.us-west-2.api.aws port 443 (#0) * Trying IPv6 address... connected * Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0) > Host: ecr.us-west-2.api.aws * Request completely sent off

Se você estiver usando o Microsoft Windows 7 ou o Windows 10, poderá testar se é possível acessar um endpoint de pilha dupla usando IPv4 ou IPv6 usando o ping comando, conforme mostrado no exemplo a seguir.

ping ecr.us-west-2.api.aws

Fazer solicitações IPv6 usando endpoints de pilha dupla

Você pode fazer chamadas de API do Amazon ECR IPv6 usando endpoints de pilha dupla. A funcionalidade e o desempenho das operações da API do Amazon ECR permanecem consistentes, independentemente de você usar IPv4 ou IPv6.

Ao usar o AWS Command Line Interface (AWS CLI) e AWS SDKs, você pode habilitar IPv6 usando um parâmetro ou sinalizador para alternar para um endpoint de pilha dupla ou especificando diretamente o endpoint de pilha dupla em seu arquivo de configuração para substituir o endpoint padrão do Amazon ECR. Você também pode fazer alterações na configuração usando um comando, que é definido use_dualstack_endpoint como verdadeiro no perfil padrão. Para obter mais informações sobreuse_dualstack_endpoint, consulte Endpoints de pilha dupla e FIPS.

exemplo Fazendo alterações na configuração usando um comando

aws configure set default.ecr.use_dualstack_endpoint true

exemplo Fazendo solicitações sobre o IPv6 uso AWS CLI

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Usando endpoints do Amazon ECR a partir da docker CLI

Depois de entrar no repositório do Amazon ECR e marcar sua imagem, você pode enviar e extrair imagens OCI e imagens do Docker de e para os registros do Amazon ECR. Os exemplos a seguir demonstram os comandos docker push e docker pull com os dois endpoints de pilha dupla.

exemplo Enviando imagens do docker usando o endpoint IPv4

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

exemplo Enviando imagens do docker usando endpoint de pilha dupla

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

exemplo Extraindo imagens do docker usando o endpoint IPv4

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

exemplo Extraindo imagens do docker usando endpoint de pilha dupla

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

Usando IPv6 endereços nas políticas do IAM

Antes de acessar um registro usando IPv6, certifique-se de que seu usuário do IAM e as políticas de registro do Amazon ECR que usam a filtragem de endereços IP incluam intervalos de IPv6 endereços. Se as políticas de filtragem de endereços IP não forem atualizadas para lidar com IPv6 endereços, os clientes poderão perder ou obter acesso incorretamente ao registro quando começarem a usar. IPv6 Para obter mais informações sobre como gerenciar permissões de acesso com o IAM, consulte Gerenciamento de Identidade e Acesso para o Amazon Elastic Container Registry.

As políticas do IAM que filtram endereços IP usam Operadores de condição de endereço IP. O exemplo de política de registro a seguir mostra como identificar o 54.240.143.* intervalo de IPv4 endereços permitidos usando operadores de condição de endereço IP. Qualquer endereço IP fora desse intervalo tem acesso negado ao registro (exampleregistry). Como todos os IPv6 endereços estão fora do intervalo permitido, essa política impede que IPv6 os endereços sejam acessadosexampleregistry.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "ecr:*", "Resource": "arn:aws:ecr:::exampleregistry/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }

Para permitir intervalos de endereços IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64), modifique o elemento Condição da política de registro conforme mostrado no exemplo a seguir. Você pode usar esse formato de Condition bloco para atualizar suas políticas de usuário e de registro do IAM.

"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }
Importante

Antes de usar, IPv6 você deve atualizar todas as políticas relevantes de usuário e registro do IAM que usam filtragem de endereço IP. Não recomendamos usar a filtragem de endereços IP nas políticas de registro.

Você pode revisar suas políticas de usuário do IAM usando o console do IAM em https://console.aws.amazon.com/iam/. Para obter mais informações sobre o IAM, consulte o Guia do usuário do IAM.