用于缓存提取的 Amazon ECR 服务相关角色
Amazon ECR 使用名为 AWSServiceRoleForECRPullThroughCache 的服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到您的存储库。
Amazon ECR 的服务相关角色权限
AWSServiceRoleForECRPullThroughCache 服务相关角色信任以下服务来代入该角色。
-
pullthroughcache.ecr.amazonaws.com
以下 AWSECRPullThroughCache_ServiceRolePolicy
权限策略将附加到服务相关角色,并允许 Amazon ECR 使用以下操作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" }] }
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
为 Amazon ECR 创建服务相关角色
无需手动为缓存提取创建 Amazon ECR 服务相关角色。当您在 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 中为私有注册表创建缓存提取规则时,Amazon ECR 将为您创建服务相关角色。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您为私有注册表创建缓存提取规则时,如果服务相关角色尚不存在,则 Amazon ECR 将为您再次创建该角色。
为 Amazon ECR 编辑服务相关角色
Amazon ECR 不允许您手动编辑 AWSServiceRoleForECRPullThroughCache 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
为 Amazon ECR 删除服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先删除每个区域中的注册表缓存提取规则,才能手动删除服务相关角色。
如果您尝试删除资源,而 Amazon ECR 服务仍在使用角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。
要删除 AWSServiceRoleForECRPullThroughCache 服务相关角色所使用的 Amazon ECR 资源
打开位于 https://console.aws.amazon.com/ecr/
的 Amazon ECR 控制台。 -
从导航栏中,选择创建缓存提取规则所在的区域。
-
在导航窗格中,选择 Private registry(私有注册表)、Pull through cache(缓存提取)。
-
选择您的缓存提取规则,然后选择 Delete rule(删除规则)。
使用 IAM 手动删除 服务相关角色
使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForECRPullThroughCache 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色。