As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões do IAM necessárias para sincronizar um registro upstream com um registro privado do Amazon ECR
Além das permissões da API do Amazon ECR necessárias para autenticar em um registro privado e enviar e extrair imagens, as seguintes permissões adicionais são necessárias para usar regras de cache de pull-through de forma efetiva.
+ `ecr:CreatePullThroughCacheRule`: concede permissão para criar regra de cache de pull-through. Essa permissão deve ser concedida por meio de uma política do IAM baseada em identidade.
+ `ecr:BatchImportUpstreamImage`: concede permissão para recuperar a imagem externa e importá-la para o registro privado. Essa permissão pode ser concedida usando a política de permissões do registro privado, uma política do IAM baseada em identidade ou a política de permissões de repositório baseadas em recursos. Para obter mais informações sobre o uso de permissões de repositório, consulte [Políticas de repositório privado no Amazon ECR](repository-policies.md).
+ `ecr:CreateRepository`: concede permissão para criar um repositório em um registro privado. Essa permissão é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Essa permissão pode ser concedida por uma política do IAM baseada em identidade ou pela política de permissões do registro privado.
## Usar permissões de registro
As permissões de registro privado do Amazon ECR podem ser usadas para dimensionar o escopo das permissões de entidades individuais do IAM para usar o cache de pull-through. Se uma entidade do IAM tiver mais permissões concedidas por uma política do IAM do que a política de permissões do registro está concedendo, a política do IAM terá precedência. Por exemplo, se um usuário já tiver as permissões `ecr:*`, não serão necessárias permissões adicionais no nível do registro.
### Para criar uma política de permissões de um registro privado (Console de gerenciamento da AWS)
1. Abra o console do Amazon ECR em [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Na barra de navegação, escolha a região na qual deseja configurar a sua declaração de permissões da política do registro.
1. No painel de navegação, escolha **Private registry** (Registro privado), **Registry permissions** (Permissões do registro).
1. Na página **Registry permissions** (Permissões do registro), escolha **Generate statement** (Gerar declaração).
1. Para cada declaração de política de permissões de cache de pull-through que você criar, faça o seguinte.
1. Em **Policy type** (Tipo de política), escolha **Pull through cache policy** (Política de cache de pull-through).
1. Em **Statement id** (ID da declaração), forneça um nome para a política de declaração do cache de pull-through.
1. Em **IAM entities** (Entidades do IAM), especifique os usuários, grupos ou funções a serem incluídos na política.
1. Em **Repository namespace** (Namespace do repositório), selecione a regra de cache de pull-through para associar à política.
1. Em **Repository names** (Nomes de repositórios), especifique o nome da base do repositório ao qual a regra será aplicada. Por exemplo, se você quisesse especificar o repositório do Amazon Linux no Amazon ECR Public, o nome do repositório seria `amazonlinux`.
### Para criar uma política de permissões de um registro privado (AWS CLI)
Use o AWS CLI comando a seguir para especificar as permissões do registro privado usando AWS CLI o.
1. Crie um arquivo local denominado `ptc-registry-policy.json` com o conteúdo da política do registro. O exemplo a seguir concede a permissão `ecr-pull-through-cache-user` para criar um repositório e extrair uma imagem do Amazon ECR Public, que é a fonte upstream associada à regra de cache pull-through criada anteriormente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PullThroughCacheFromReadOnlyRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/ecr-pull-through-cache-user"
},
"Action": [
"ecr:CreateRepository",
"ecr:BatchImportUpstreamImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/ecr-public/*"
}
]
}
```
------
**Importante**
A permissão `ecr-CreateRepository` é necessária se o repositório de armazenamento de imagens em cache ainda não existir. Por exemplo, se a ação de criação do repositório e as ações de extração de imagem forem realizadas por entidades separadas do IAM, como um administrador e um desenvolvedor.
1. Use o [put-registry-policy](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-policy.html)comando para definir a política de registro.
```
aws ecr put-registry-policy \
--policy-text file://ptc-registry.policy.json
```
## Próximas etapas
Quando você estiver pronto para começar a usar as regras de cache de pull-through, as próximas etapas são apresentadas a seguir.
+ Crie uma regra de cache de pull-through. Para obter mais informações, consulte [Criar uma regra de cache de pull-through no Amazon ECR](pull-through-cache-creating-rule.md).
+ Crie um modelo de criação de repositório. Um modelo de criação de repositório oferece a você o controle para definir as configurações a serem usadas para novos repositórios criados pelo Amazon ECR em seu nome durante uma ação do cache de pull-through. Para obter mais informações, consulte [Modelos para controlar repositórios criados durante uma ação de extração por cache, criação por push ou replicação](repository-creation-templates.md).