用於控制提取快取或複寫動作期間建立之儲存庫的範本 - Amazon ECR
運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於控制提取快取或複寫動作期間建立之儲存庫的範本

使用 Amazon ECR 儲存庫建立範本來定義 Amazon ECR 代表您建立的儲存庫設定。儲存庫建立範本中的設定只會在建立儲存庫期間套用,對使用任何其他方法建立的現有儲存庫或儲存庫沒有任何影響。目前,儲存庫建立範本可用於在建立儲存庫期間套用這些功能的設定:

  • 提取快取

  • 複寫

下列區域不支援儲存庫建立範本:

  • 中國 (北京) (cn-north-1)

  • 中國 (寧夏) (cn-northwest-1)

  • AWS GovCloud (美國東部) (us-gov-east-1)

  • AWS GovCloud (美國西部) (us-gov-west-1)

儲存庫建立範本的運作方式

有時 Amazon ECR 需要代表您建立新的私有儲存庫。例如:

  • 第一次使用提取快取規則擷取上游儲存庫的內容,並將其存放在 Amazon ECR 私有登錄檔中。

  • 當您希望 Amazon ECR 將儲存庫複寫到另一個區域或帳戶時。

如果沒有符合您提取快取規則或複寫儲存庫的儲存庫建立範本,Amazon ECR 會使用新儲存庫的預設設定。這些預設設定包括關閉標籤不變性、使用 AES-256 加密,以及不套用任何儲存庫或生命週期政策。

使用儲存庫建立範本可讓您定義 Amazon ECR 套用到透過提取快取和複寫動作建立的新儲存庫的設定。您可以為新儲存庫定義標籤不變性、加密組態、儲存庫許可、生命週期政策和資源標籤。

下圖顯示當儲存庫建立範本與提取快取動作搭配使用時,Amazon ECR 使用的工作流程。

顯示如何將儲存庫建立範本套用至新儲存庫。

以下詳細說明儲存庫建立範本中的每個參數。

字首

字首是與範本相關聯的儲存庫命名空間字首。使用此字首建立的所有儲存庫都會套用此範本中定義的設定。例如,prod 字首會套用至開頭為 prod/ 的所有儲存庫。同樣地,prod/team 字首會套用至開頭為 prod/team/ 的所有儲存庫。在包含兩個範本的登錄檔中,如果一個範本具有字首 "prod",而另一個範本具有字首 "prod/team",則具有字首 "prod/team" 的範本將套用至名稱開頭為 "prod/team/" 的所有儲存庫。

若要將範本套用至登錄檔中沒有關聯建立範本的所有儲存庫,您可以使用 ROOT 做為字首。

重要

總會有一個假設 / 套用至字首的結尾。如果您指定 ecr-public 為字首,Amazon ECR 會將其視為 ecr-public/。使用提取快取規則時,您在規則建立期間指定的儲存庫字首,也應該將其指定為儲存庫建立範本字首。

描述

範本描述是選用的,用於描述儲存庫建立範本的目的。

套用至

套用用於設定的 會決定要使用此範本建立哪些 Amazon ECR 建立的儲存庫。有效值為 PULL_THROUGH_CACHEREPLICATION。例如,您第一次使用提取快取規則來擷取上游儲存庫的內容,並將其存放在 Amazon ECR 私有儲存庫時。如果沒有符合您提取快取規則的存放庫建立範本,Amazon ECR 會使用新儲存庫的預設設定。

儲存庫建立角色

儲存庫建立角色是 IAM 角色 ARN,Amazon ECR 會在透過儲存庫建立範本建立和設定儲存庫時擔任此角色。在範本中使用儲存庫標籤和/或 KMS 時,必須提供此角色,否則儲存庫建立會失敗。

映像標籤可變性

用於使用範本建立的儲存庫之標籤可變性設定。如果省略此參數,則會使用可變預設設定,以允許覆寫映像標籤。建議使用此設定,用於透過提取快取動作所建立的儲存庫的範本。這可確保標籤相同時,Amazon ECR 可以更新快取的映像。

如果已指定不可變,儲存庫中的所有映像標籤不可變,這會阻止它們遭覆寫。

加密組態
重要

使用 AWS KMS (DSSE-KMS) 的雙層伺服器端加密僅適用於 AWS GovCloud (US) 區域。

用於使用範本建立之儲存庫的加密組態

如果您使用 KMS 加密類型,儲存庫內容將搭配使用伺服器端加密與存放在 AWS KMS中的 AWS Key Management Service 金鑰進行加密。當您使用 AWS KMS 加密資料時,您可以使用 Amazon ECR 的預設 AWS 受管 AWS KMS 金鑰,或指定您已建立的自有 AWS KMS 金鑰。您可以進一步選擇搭配 使用單層或雙層加密 AWS KMS。如需詳細資訊,請參閱 靜態加密。如果您使用的是 KMS 加密類型,並搭配跨區域複寫使用,您可能需要額外的許可。如需詳細資訊,請參閱建立用於複寫的 KMS 金鑰政策

如果您使用 AES256 加密類型,Amazon ECR 搭配使用伺服器端加密與 Amazon S3 受管加密金鑰,該方法使用 AES-256 加密演算法對儲存庫中的映像進行加密。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的透過 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料

儲存庫許可

套用至使用範本建立之儲存庫的儲存庫政策。儲存庫政策使用資源型許可來控制儲存庫的存取。資源型權限可讓您指定哪些 IAM 使用者或角色可以存取儲存庫,以及他們可以執行的動作。根據預設,只有建立儲存庫 AWS 的帳戶才能存取儲存庫。您可以套用政策文件來授予或拒絕其他許可給儲存庫。如需詳細資訊,請參閱Amazon ECR 中的私有儲存庫政策

儲存庫生命週期政策

用於使用範本建立的儲存庫之生命週期政策。生命週期政策提供對私有儲存庫中映像的生命週期管理的更多控制。生命週期政策包含一個或多項規則,其中的每一項規則都會定義 Amazon ECR 的動作。這提供藉由依據年齡或計數讓映像過期的方式,自動清理您的容器映像。如需詳細資訊,請參閱在 Amazon ECR 中使用生命週期政策來自動化映像的清除

資源標籤

資源標籤是要套用至儲存庫的中繼資料,可協助您分類和組織儲存庫。每個標籤皆包含由您定義的一個金鑰與一個選用值。如果您使用具有跨區域複寫的儲存庫建立範本,則需要將此許可套用至目的地登錄政策。