登录控制台
Amazon ECR
用户指南 (API 版本 2015-09-21)
AWS 文档 » Amazon EC2 Container Registry » 用户指南 » Amazon ECR 注册表
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon ECR 注册表

您可以使用 Amazon ECR 注册表在一个可用性和可扩展性都非常高的架构中托管您的镜像,从而安全可靠地为应用程序部署容器。您可以使用镜像仓库管理镜像存储库和 Docker 镜像。每个 AWS 账户提供单个(默认)Amazon ECR 镜像仓库。

镜像仓库概念

  • 您的默认镜像仓库的 URL 为 https://aws_account_id.dkr.ecr.region.amazonaws.com

  • 默认情况下,您的账户可以读取和写入默认镜像仓库中的存储库 ()。但是,IAM 用户需拥有权限才能调用 Amazon ECR API 并从您的存储库中推送或拉取镜像。Amazon ECR 提供了一些托管策略来控制不同级别下的用户访问。有关更多信息,请参阅 Amazon ECR 托管策略

  • 您必须为 Docker 客户端授予镜像仓库权限,以便使用 docker pushdocker pull 命令对该镜像仓库中的存储库执行推送和拉取镜像操作。有关更多信息,请参阅镜像仓库身份验证

  • 可通过 IAM 用户访问策略及存储库策略对存储库加以控制。

镜像仓库身份验证

可以使用 AWS 管理控制台、AWS CLI 或 AWS 开发工具包来创建和管理存储库。也可以使用这些方法对镜像执行某些操作,例如列出或删除镜像。这些客户端使用标准 AWS 身份验证方法。尽管在技术上可以使用 Amazon ECR API 推送和拉取镜像,但您更有可能使用 Docker CLI(或特定语言的 Dockerf 库)。

由于 Docker CLI 不支持标准的 AWS 身份验证方法,必须采用其他方式验证 Docker 客户端的身份。这样 Amazon ECR 才能了解是谁在请求推送或拉取镜像。如果您正在使用 Docker CLI,那么可使用 docker login 命令向 Amazon ECR 镜像仓库进行身份验证。可使用 Amazon ECR 提供的授权令牌,该令牌在 12 小时内有效。GetAuthorizationToken API 操作提供采用 base64 编码的授权令牌,其中包含用户名 (AWS) 和密码,解码后可在 docker login 命令中使用。但是,AWS CLI 中提供了更简单的 get-login 命令(检索令牌、解码并将其转换为 docker login 命令)。

使用 get-login 对 Amazon ECR 注册表验证 Docker

注意

AWS CLI 从版本 1.9.15 开始提供 get-login 命令;但对于较新的 Docker 版本 (17.06 或更高版本),我们建议使用 1.11.91 或更高版本。您可以使用 aws --version 命令查看 AWS CLI 的版本。

  1. 运行 aws ecr get-login 命令。以下示例适用于与创建请求的账户关联的默认注册表。要访问其他账户注册表,请使用 --registry-ids aws_account_id 选项。如果您使用的是 Docker 17.06 或更高版本,请在 get-login 后包含 --no-include-email 选项。有关更多信息,请参阅 AWS CLI Command Reference 中的 get-login

    aws ecr get-login

    输出:

    
docker login -u AWS -p password -e none https://aws_account_id.dkr.ecr.us-east-1.amazonaws.com

    重要

    如果收到 Unknown options: --no-include-email 错误,请安装最新版本的 AWS CLI。有关更多信息,请参阅 AWS Command Line Interface 用户指南 中的安装 AWS 命令行界面

    结果输出是 docker login 命令,此命令可用于对 Amazon ECR 注册表验证 Docker 客户端。

  2. docker login 命令复制并粘贴到终端,授权您的 Docker CLI 访问注册表。此命令提供一个授权令牌,此令牌在 12 小时内对指定注册表有效。

    注意

    如果使用的是 Windows PowerShell,复制并粘贴这样的长字符串将不起作用。请使用以下命令。如果您使用的是 Docker 17.06 或更高版本,请在 get-login 后包含 --no-include-email 选项。 

    Invoke-Expression -Command (aws ecr get-login)

    重要

    在执行此 docker login 命令时,进程列表 (ps -e) 显示中将为系统上的其他用户显示命令字符串。由于 docker login 命令包含验证凭证,因此系统上的其他用户可按此方式查看凭证并使用这些凭证来获取对存储库的推送和拉取访问权会带来风险。如果您所在的系统不安全,则应考虑此风险,并通过省略 -p password 选项并在系统提示时输入密码来以交互方式登录。

HTTP API 身份验证

Amazon ECR 支持 Docker 镜像仓库 HTTP API。但是,由于 Amazon ECR 属于私有镜像仓库,因此您必须为每个 HTTP 请求提供授权令牌。您可以通过使用 curl-H 选项来添加 HTTP 授权标头,以传递由 get-authorization-token AWS CLI 命令提供的授权令牌。

使用 Amazon ECR HTTP API 进行身份验证

  1. 使用 AWS CLI 检索授权令牌并将其设置为环境变量。

    TOKEN=$(aws ecr get-authorization-token --output text --query 'authorizationData[].authorizationToken')

  2. 要向 API 进行身份验证,可将 $TOKEN 变量传递到 curl 命令的 -H 选项。例如,以下命令会列出 Amazon ECR 存储库中的镜像标签。有关更多信息,请参阅 Docker 镜像仓库 HTTP API 参考文档。 

    curl -i -H "Authorization: Basic $TOKEN" https://012345678910.dkr.ecr.us-east-1.amazonaws.com/v2/amazonlinux/tags/list

    输出:

    HTTP/1.1 200 OK
Content-Type: text/plain; charset=utf-8
Date: Thu, 04 Jan 2018 16:06:59 GMT
Docker-Distribution-Api-Version: registry/2.0
Content-Length: 50
Connection: keep-alive

{"name":"amazonlinux","tags":["2017.09","latest"]}