设置跨账户 ECR 到 ECR PTC 的权限

Amazon ECR 到 Amazon ECR（ECR 到 ECR）直通缓存功能支持在区域、 Amazon 账户或两者之间自动同步图像。使用 ECR 到 ECR PTC，您可以将图像推送到主要 Amazon ECR 注册表，并配置拉取缓存规则，将图像缓存在下游 Amazon ECR 注册表中。

跨账户 ECR 到 ECR 通过缓存提取所需的 IAM 策略

要在不同 Amazon 账户的 Amazon ECR 注册表之间缓存映像，请在下游账户中创建 IAM 角色并配置本节中的策略以提供以下权限：

Amazon ECR 需要权限才能代表您从上游 Amazon ECR 注册表中提取图片。您可以通过创建 IAM 角色然后在拉取缓存规则中指定该角色来授予这些权限。
上游注册表所有者还必须向缓存注册表所有者授予将映像拉入资源策略所需的权限。

创建 IAM 角色来定义直通缓存权限

以下示例显示了一个权限策略，该策略授予 IAM 角色代表您从上游 Amazon ECR 注册表中提取图像的权限。当 Amazon ECR 担任该角色时，它将获得本策略中指定的权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken",
                "ecr:BatchImportUpstreamImage",
                "ecr:BatchGetImage",
                "ecr:GetImageCopyStatus",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

为 IAM 角色创建信任策略

以下示例显示了一个信任策略，该策略将 Amazon ECR 穿过缓存确定为可以担任该角色的 Amazon 服务主体。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "pullthroughcache.ecr.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

在上游 Amazon ECR 注册表中创建资源策略

上游 Amazon ECR 注册表所有者还必须添加注册表策略或存储库策略，以授予下游注册表所有者执行以下操作所需的权限。


{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::444455556666:root"
    },
    "Action": [
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchImportUpstreamImage",
        "ecr:GetImageCopyStatus"
    ],
    "Resource": "arn:aws:ecr:region:111122223333:repository/*"
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

所需的 IAM 权限

创建缓存提取规则