Como configurar permissões para ECR entre contas e ECR PTC - Amazon ECR
Políticas do IAM necessárias para cache de pull-through ECR para ECR entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar permissões para ECR entre contas e ECR PTC

O recurso de cache pull through do Amazon ECR para o Amazon ECR (ECR para ECR) permite a sincronização automática de imagens entre regiões, AWS contas ou ambas. Com o PTC ECR para ECR, você pode enviar imagens para seu registro primário do Amazon ECR e configurar uma regra de cache de pull-through para armazenar imagens em registros downstream do Amazon ECR.

Políticas do IAM necessárias para cache de pull-through ECR para ECR entre contas

Para armazenar imagens em cache entre registros do Amazon ECR em AWS contas diferentes, crie uma função do IAM na conta downstream e configure as políticas nesta seção para fornecer as seguintes permissões:

  • O Amazon ECR precisa de permissões para extrair imagens do registro upstream do Amazon ECR em seu nome. Você pode conceder essas permissões criando um perfil do IAM e especificando-o na regra de cache de pull-through.

  • O proprietário do registro upstream também deve conceder ao proprietário do registro de cache as permissões necessárias para inserir as imagens nas políticas de recursos.

Criação de um perfil do IAM para definir as permissões de cache de pull-through

O exemplo a seguir mostra uma política de permissões que concede a um perfil do IAM permissão para extrair imagens do registro upstream do Amazon ECR em seu nome. Quando o Amazon ECR assumir a função, ele terá as permissões que você especificar nessa política.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Como criar uma política de confiança para o perfil do IAM

O exemplo a seguir mostra uma política de confiança que identifica o cache pull through do Amazon ECR como o principal AWS de serviço que pode assumir a função.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Criação de uma política de recursos no registro upstream do Amazon ECR

O proprietário do registro upstream do Amazon ECR também deve adicionar uma política de registro ou uma política de repositório para conceder ao proprietário do registro downstream as permissões necessárias para realizar as ações a seguir. 

{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}