Replicação de imagem privada no Amazon ECR - Amazon ECR
Requisitos da política de replicaçãoConsiderações sobre a replicação de imagem privada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicação de imagem privada no Amazon ECR

É possível configurar o registro privado do Amazon ECR para oferecer suporte à replicação dos seus repositórios. O Amazon ECR oferece suporte à replicação entre regiões e entre contas. Para que ocorra replicação entre contas, a conta de destino deverá configurar uma política de permissões de registro para permitir que a replicação do registro de origem ocorra. Para obter mais informações, consulte Permissões de registro privado no Amazon ECR.

Tópicos

Requisitos da política de replicação entre contas

Para que a replicação de ECR entre contas funcione adequadamente, você deve entender qual conta precisa de quais políticas configuradas. Esta seção esclarece os requisitos de política para contas de origem e de destino.

Visão geral da configuração de políticas

A replicação de ECR entre contas requer configuração de política somente na conta de destino. A conta de origem não exige nenhuma política especial de repositório ou registro.

  • Conta de origem: defina as regras de replicação nas configurações do registro. Não são necessárias políticas adicionais nos repositórios de origem.

  • Conta de destino: configure uma política de permissões de registro para permitir que a conta de origem replique imagens.

Requisitos da política de registro de destino

A conta de destino deve configurar uma política de permissões do registro que conceda à conta de origem permissão para realizar as seguintes ações:

  • ecr:ReplicateImage- Permite que a conta de origem replique imagens para o registro de destino

  • ecr:CreateRepository- Permite que o ECR crie automaticamente repositórios no registro de destino, caso eles ainda não existam

Importante

Se você não conceder a ecr:CreateRepository permissão, deverá criar manualmente repositórios com os mesmos nomes na conta de destino para que a replicação seja bem-sucedida.

Exemplo de política de registro de destino:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCrossAccountReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:root"
            },
            "Action": [
                "ecr:ReplicateImage",
                "ecr:CreateRepository"
            ]
        }
    ]
}

Requisitos da conta de origem

A conta de origem só precisa:

  • Defina as regras de replicação nas configurações do registro para especificar a conta e as regiões de destino

  • Certifique-se de que o principal do IAM que configura a replicação tenha as permissões de ECR necessárias

Nenhuma política adicional é necessária nos repositórios de origem. Os repositórios de origem não precisam de políticas de repositório que concedam permissões de replicação.

Equívocos comuns

A seguir estão os equívocos comuns sobre as políticas de replicação entre contas do ECR:

  • Equívoco: o repositório de origem precisa de uma política que permita que a conta de destino replique imagens.

    Realidade: os repositórios de origem não precisam de nenhuma política especial para replicação.

  • Equívoco: tanto as contas de origem quanto as de destino precisam de políticas de registro.

    Realidade: somente a conta de destino precisa de uma política de permissões de registro.

  • Equívoco: políticas de repositório e políticas de registro são a mesma coisa.

    Realidade: as políticas de repositório controlam o acesso a repositórios individuais, enquanto as políticas de registro controlam as operações em nível de registro, como a replicação.

Solução de problemas de replicação

Se a replicação entre contas estiver falhando, verifique o seguinte:

  • Verifique se a conta de destino tem uma política de permissões de registro configurada

  • Certifique-se de que a política de registro inclua ecr:CreateRepository ações ecr:ReplicateImage e ambos

  • Confirme se o ID da conta de origem está especificado corretamente na política de registro de destino

  • Verifique se os repositórios de destino existem (se não ecr:CreateRepository forem concedidos)

  • Revise CloudTrail os registros de falhas CreateRepository ou chamadas de ReplicateImage API

Considerações sobre a replicação de imagem privada

As seguintes informações devem ser consideradas ao usar replicação de imagem privada.

  • Somente conteúdo do repositório enviado para um repositório após a replicação ser configurada é replicado. Nenhum conteúdo preexistente em um repositório é replicado. Depois que a replicação é configurada para um repositório, o Amazon ECR mantém o destino e a origem sincronizados.

  • O nome do repositório permanecerá o mesmo em diferentes regiões e contas quando a replicação ocorrer. O Amazon ECR não suporta a alteração do nome do repositório durante a replicação.

  • Na primeira vez que você configura seu registro privado para replicação, o Amazon ECR cria um perfil do IAM vinculada ao serviço em seu nome. A função do IAM vinculada ao serviço concede ao serviço de replicação do Amazon ECR a permissão necessária para criar repositórios e replicar imagens em seu registro. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o Amazon ECR.

  • Para que a replicação entre contas ocorra, o destino do registro privado deve conceder permissão para permitir que o registro de origem replique suas imagens. Isso é feito definindo uma política de permissões de registro privado. Para obter mais informações, consulte Permissões de registro privado no Amazon ECR.

  • Se a política de permissão para um registro privado for alterada para remover uma permissão, todas as replicações em andamento concedidas anteriormente poderão ser concluídas.

  • Para que a replicação entre regiões ocorra, tanto a conta de origem quanto a conta de destino devem estar ativadas na região antes que qualquer ação de replicação ocorra dentro da região ou tendo a região como destino. Para obter mais informações, consulte Como gerenciar regiões da AWS no Referência geral da Amazon Web Services.

  • A replicação entre regiões não é suportada entre AWS partições. Por exemplo, um repositório em us-west-2 não pode ser replicado para cn-north-1. Para obter mais informações sobre AWS partições, consulte o formato ARN AWS na Referência geral.

  • A configuração de replicação para um registro privado pode conter até 25 destinos exclusivos em todas as regras, com um máximo de 10 regras no total. Cada regra pode conter até 100 filtros. Isso permite especificar regras separadas para repositórios contendo imagens usadas para produção e teste, por exemplo.

  • A configuração de replicação oferece suporte à filtragem de quais repositórios em um registro privado são replicados especificando um prefixo de repositório. Para obter um exemplo, consulte Exemplo: configurar a replicação entre regiões usando um filtro de repositório.

  • Uma ação de replicação ocorre apenas uma vez por envio de imagem. Por exemplo, se você configurou a replicação entre regiões do us-west-2 para us-east-1 e do us-east-1 para us-east-2, uma imagem enviada para us-west-2 replica somente para us-east-1, ela não é replicada novamente para us-east-2. Esse comportamento se aplica à replicação entre regiões e entre contas.

  • A maioria das imagens replica-se em menos de 30 minutos, mas em casos raros a replicação pode demorar mais.

  • Replicação do Registro não executa nenhuma ação de exclusão. Imagens e repositórios replicados podem ser excluídos manualmente quando não estão mais sendo usados.

  • As políticas de repositório, incluindo políticas do IAM e políticas de ciclo de vida não são replicadas e não têm nenhum efeito além do repositório para o qual estão definidas.

  • As configurações do repositório não são replicadas por padrão. Você pode replicar as configurações do repositório usando modelos de criação de repositório. Essas configurações incluem mutabilidade de tags, criptografia, permissões de repositório e políticas de ciclo de vida. Para obter mais informações sobre modelos de criação de repositórios, consulteModelos para controlar repositórios criados durante uma ação de cache de pull-through ou replicação.

  • Se a imutabilidade da etiqueta estiver habilitada em um repositório e for replicada uma imagem que usa a mesma marca de uma imagem existente, a imagem será replicada, mas não conterá a etiqueta duplicada. Isso pode resultar na imagem ficar sem etiqueta.