本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定跨帳戶 ECR 到 ECR PTC 的許可
Amazon ECR 到 Amazon ECR (ECR 到 ECR) 提取快取功能可在區域、 AWS 帳戶或兩者之間自動同步映像。使用 ECR 到 ECR PTC,您可以將映像推送到主要 Amazon ECR 登錄檔,並設定提取快取規則來快取下游 Amazon ECR 登錄檔中的映像。
## 跨帳戶 ECR 到 ECR 提取快取所需的 IAM 政策
若要跨不同 AWS 帳戶快取 Amazon ECR 登錄檔之間的映像,請在下游帳戶中建立 IAM 角色,並設定本節中的政策以提供下列許可:
+ Amazon ECR 需要許可,才能代表您從上游 Amazon ECR 登錄檔提取映像。您可以透過建立 IAM 角色,然後在提取快取規則中指定這些角色來授予這些許可。
+ 上游登錄擁有者也必須授予快取登錄擁有者必要的許可,才能將映像提取至資源政策。
**Topics**
+ [建立 IAM 角色以定義提取快取許可](#ecr-policies-for-cross-account-ecr-to-ecr-pull-through-cache)
+ [為 IAM 角色建立信任政策](#ecr-creating-a-trust-policy-for-the-iam-role)
+ [在上游 Amazon ECR 登錄檔中建立資源政策](#ecr-creating-registry-permissions-policy-in-upstream-registry)
### 建立 IAM 角色以定義提取快取許可
下列範例顯示許可政策,授予 IAM 角色代表您從上游 Amazon ECR 登錄檔提取映像的許可。當 Amazon ECR 擔任該角色時,會收到此政策中指定的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"ecr:BatchImportUpstreamImage",
"ecr:BatchGetImage",
"ecr:GetImageCopyStatus",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource": "*"
}
]
}
```
------
### 為 IAM 角色建立信任政策
下列範例顯示信任政策,將 Amazon ECR 提取快取識別為可擔任該角色 AWS 的服務主體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pullthroughcache.ecr.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### 在上游 Amazon ECR 登錄檔中建立資源政策
上游 Amazon ECR 登錄擁有者也必須新增登錄政策或儲存庫政策,才能授予下游登錄擁有者執行下列動作所需的許可。
**注意**
只有**跨帳戶** ECR 到 ECR 提取快取組態才需要下列資源政策。對於**相同帳戶、跨區域**提取快取,您只需要前幾節中顯示的 IAM 角色政策和信任政策。當上游和下游登錄檔位於相同帳戶時,不需要根 AWS 帳戶主體許可。
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchImportUpstreamImage",
"ecr:GetImageCopyStatus"
],
"Resource": "arn:aws:ecr:region:111122223333:repository/*"
}
```