Políticas do IAM necessárias para que o ECR entre contas cruzadas e o ECR passasse pelo cache

Configurando permissões para ECR entre contas e ECR PTC

O recurso de cache pull through do Amazon ECR para o Amazon ECR (ECR para ECR) permite a sincronização automática de imagens entre regiões, AWS contas ou ambas. Com o ECR para ECR PTC, você pode enviar imagens para seu registro primário do Amazon ECR e configurar uma regra de cache pull through para armazenar imagens em registros downstream do Amazon ECR.

Políticas do IAM necessárias para que o ECR entre contas cruzadas e o ECR passasse pelo cache

Para armazenar imagens em cache entre registros do Amazon ECR em AWS contas diferentes, crie uma função do IAM na conta downstream e configure as políticas nesta seção para fornecer as seguintes permissões:

O Amazon ECR precisa de permissões para extrair imagens do registro upstream do Amazon ECR em seu nome. Você pode conceder essas permissões criando uma função do IAM e depois especificando-a em sua regra de cache pull through.
O proprietário do registro upstream também deve conceder ao proprietário do registro de cache as permissões necessárias para inserir as imagens nas políticas de recursos.

Políticas

Criação de uma função do IAM para definir as permissões de cache de pull through
Criação de uma política de confiança para a função do IAM
Criação de uma política de recursos no registro upstream do Amazon ECR

Criação de uma função do IAM para definir as permissões de cache de pull through

O exemplo a seguir mostra uma política de permissões que concede a uma função do IAM permissão para extrair imagens do registro upstream do Amazon ECR em seu nome. Quando o Amazon ECR assume a função, ele recebe as permissões especificadas nesta política.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

Criação de uma política de confiança para a função do IAM

O exemplo a seguir mostra uma política de confiança que identifica o cache pull through do Amazon ECR como o principal AWS de serviço que pode assumir a função.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Criação de uma política de recursos no registro upstream do Amazon ECR

O proprietário do registro upstream do Amazon ECR também deve adicionar uma política de registro ou uma política de repositório para conceder ao proprietário do registro downstream as permissões necessárias para realizar as seguintes ações.


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões obrigatórias do IAM

Criação de uma regra de cache de pull-through