設定跨帳戶 ECR 到 ECR PTC 的許可 - Amazon ECR
跨帳戶 ECR 到 ECR 提取快取所需的 IAM 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定跨帳戶 ECR 到 ECR PTC 的許可

Amazon ECR 到 Amazon ECR (ECR 到 ECR) 提取快取功能可在區域、 AWS 帳戶或兩者之間自動同步映像。使用 ECR 到 ECR PTC,您可以將映像推送到主要 Amazon ECR 登錄檔,並設定提取快取規則來快取下游 Amazon ECR 登錄檔中的映像。

跨帳戶 ECR 到 ECR 提取快取所需的 IAM 政策

若要跨不同 AWS 帳戶快取 Amazon ECR 登錄檔之間的映像,請在下游帳戶中建立 IAM 角色,並設定本節中的政策以提供下列許可:

  • Amazon ECR 需要許可,才能代表您從上游 Amazon ECR 登錄檔提取映像。您可以建立 IAM 角色,然後在提取快取規則中指定該角色,以授予這些許可。

  • 上游登錄擁有者也必須授予快取登錄擁有者必要的許可,才能將映像提取至資源政策。

建立 IAM 角色以定義提取快取許可

下列範例顯示許可政策,授予 IAM 角色代表您從上游 Amazon ECR 登錄檔提取映像的許可。當 Amazon ECR 擔任角色時,會收到此政策中指定的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

為 IAM 角色建立信任政策

下列範例顯示信任政策,將 Amazon ECR 提取快取識別為可擔任該角色 AWS 的服務主體。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

在上游 Amazon ECR 登錄檔中建立資源政策

上游 Amazon ECR 登錄擁有者也必須新增登錄政策或儲存庫政策,才能授予下游登錄擁有者執行下列動作所需的許可。

{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}