Conceder permissões de registro para replicação entre contas no Amazon ECR

O tipo de política entre contas é usado para conceder permissões a um AWS principal, permitindo a replicação dos repositórios de um registro de origem para o seu registro. Por padrão, você tem permissão para configurar a replicação entre regiões no seu próprio registro. Só é necessário configurar a política de registro se estiver concendendo outra permissão de conta para replicar conteúdo para o seu registro.

Uma política de registro deve conceder permissão para a ação de API ecr:ReplicateImage. Essa API é uma API interna do Amazon ECR que pode replicar imagens entre regiões ou contas. Você também pode conceder a permissão ecr:CreateRepository, que permite que o Amazon ECR crie repositórios em seu registro se eles ainda não existirem. Se a permissão ecr:CreateRepository não for fornecida, um repositório com o mesmo nome que o repositório de origem deve ser criado manualmente no seu registro. Se nenhuma das duas alternativas foi realizada, a replicação falha. Qualquer falha CreateRepository ou ação ReplicateImage da API aparece no CloudTrail.

Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/.
Na barra de navegação, escolha a região para configurar a sua política de registro.
No painel de navegação, escolha Registro privado, escolha Recursos e configurações e, em seguida, escolha Permissões.
Na página Registry permissions (Permissões do registro), escolha Generate statement (Gerar declaração).
Realize as seguintes etapas para definir a instrução da política usando o gerador de políticas.
1. Em Tipo de política, escolha Replicação - conta cruzada.
2. Em ID do extrato, insira um ID exclusivo do extrato. Este campo é usado como o Sid na política de registro.
3. Em Contas, insira a conta IDs de cada conta para a qual você deseja conceder permissões. Ao especificar várias contas IDs, separe-as com uma vírgula.
Escolha Salvar.

Crie um arquivo denominado registry_policy.json e preencha-o com uma política de registro.


{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Crie a política de registro usando o arquivo de política.


aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

Recupere a política para seu registro para confirmar.


aws ecr get-registry-policy \
      --region us-west-2

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Mudando para o escopo estendido da política de registro

Conceder permissões para cache de pull-through