本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理上线时更新排除项
<a name="pull-time-update-exclusions-manage"></a>

要管理拉取时更新排除项，您需要以下 IAM 权限：
+ `ecr:CreatePullTimeUpdateExclusion`— 授予将角色 ARN 添加到排除列表的权限。
+ `ecr:DeletePullTimeUpdateExclusion`— 授予从排除列表中删除角色 ARN 的权限。
+ `ecr:ListPullTimeUpdateExclusions`— 授予列出排除列表 ARNs 中所有角色的权限。

**注意**  
你不需要`iam:PassRole`许可。Amazon ECR 不承担执行操作的角色；它仅使用排除配置 ARNs 来确定是否应更新图像的提取时间。

您可以使用 Amazon ECR 控制台或 CLI 管理延时更新例外情况。 AWS 

------
#### [ AWS 管理控制台 ]

**管理上线时更新排除项 ()AWS 管理控制台**

1. [在私有注册表/存储库中打开 Amazon ECR 控制台 https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)

1. 从导航栏中，选择区域。

1. 在导航窗格中，选择 “**私有注册表**”、“**功能和设置”**，然后选择 **Pull-time 更新排除**项。

1. **要添加排除项，请选择**添加排除项**，输入角色 ARN，然后选择添加。**

1. **要删除排除项，请从列表中选择角色 ARN，然后选择删除。**

1. 要查看所有排除项，列表将显示所有已配置的角色 ARNs。

------
#### [ AWS CLI ]

**创建拉取时更新排除项**
+ 使用**create-pull-time-update-exclusion**命令将角色 ARN 添加到排除列表：

  ```
  aws ecr create-pull-time-update-exclusion \
      --role-arn arn:aws:iam::123456789012:role/scanner-role
  ```

  该命令返回角色 ARN 和创建时间戳：

  ```
  {
     "roleArn": "arn:aws:iam::123456789012:role/scanner-role",
     "createdAt": 1745531331.0
  }
  ```

**删除拉取时更新排除项**
+ 使用**delete-pull-time-update-exclusion**命令从排除列表中删除角色 ARN：

  ```
  aws ecr delete-pull-time-update-exclusion \
      --role-arn arn:aws:iam::123456789012:role/scanner-role
  ```

  该命令返回已删除的角色 ARN：

  ```
  {
    "roleArn": "arn:aws:iam::123456789012:role/scanner-role"
  }
  ```

**列出上拉时更新排除项**

1. 使用**list-pull-time-update-exclusions**命令列出排除列表 ARNs 中的所有角色：

   ```
   aws ecr list-pull-time-update-exclusions
   ```

   如果未配置排除项，则该命令将返回一个空列表：

   ```
   {
      "pullTimeUpdateExclusions": []
   }
   ```

   如果配置了排除项，则该命令将返回角色 ARNs列表：

   ```
   {
      "pullTimeUpdateExclusions": [
           "arn:aws:iam::123456789012:role/security-role"
       ]
   }
   ```

1. 要对结果进行分页，请使用`--max-results`和`--next-token`参数：

   ```
   aws ecr list-pull-time-update-exclusions \
       --max-results 4
   ```

   该命令最多返回指定数量的结果，`nextToken`如果有更多结果可用，则返回：

   ```
   {
      "pullTimeUpdateExclusions": [
           "arn:aws:iam::123456789012:role/security-role1",
           "arn:aws:iam::123456789012:role/security-role2",
           "arn:aws:iam::123456789012:role/security-role3",
           "arn:aws:iam::123456789012:role/security-role4"
       ],
       "nextToken": "ukD72mdD/mC8b5xV3susmJzzaTgp3hKwR9nRUW1yZZ79..."
   }
   ```

   要检索下一页的结果，请使用上`nextToken`一个响应中的：

   ```
   aws ecr list-pull-time-update-exclusions \
       --max-results 4 \
       --next-token ukD72mdD/mC8b5xV3susmJzzaTgp3hKwR9nRUW1yZZ79...
   ```

------