用于复制的 Amazon ECR 服务相关角色 - Amazon ECR
Amazon 的服务相关角色权限 ECR为 Amazon 创建服务相关角色 ECR编辑 Amazon 的服务相关角色 ECR删除 Amazon 的服务相关角色 ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于复制的 Amazon ECR 服务相关角色

Amazon ECR 使用名为的服务相关角色 AWSServiceRoleForECRReplication,该角色ECR允许亚马逊跨多个账户复制图像。

Amazon 的服务相关角色权限 ECR

AWSServiceRoleForECRReplication 服务相关角色信任以下服务来代入该角色:

  • replication.ecr.amazonaws.com

以下ECRReplicationServiceRolePolicy角色权限策略允许 Amazon ECR 对资源使用以下操作:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": "*"
        }
    ]
}
注意

ReplicateImage是 Amazon ECR 用于复制的内部API文件,无法直接调用。

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为 Amazon 创建服务相关角色 ECR

您无需手动创建 Amazon ECR 服务相关角色。当您在 Amazon Web Services Management Console、或中为注册表配置复制设置时 Amazon CLI Amazon API,Amazon ECR 会为您创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您为注册表配置复制设置时,Amazon ECR 会再次为您创建服务相关角色。

编辑 Amazon 的服务相关角色 ECR

Amazon ECR 不允许手动编辑 AWSServiceRoleForECRReplication 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色

删除 Amazon 的服务相关角色 ECR

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先删除每个区域中的注册表复制配置,才能手动删除服务相关角色。

注意

如果您在 Amazon ECR 服务仍在使用角色时尝试删除资源,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。

删除使用的 Amazon ECR 资源 AWSServiceRoleForECRReplication

  1. 打开 Amazon ECR 控制台,网址为https://console.aws.amazon.com/ecr/

  2. 从导航栏中,选择为其设置复制配置的区域。

  3. 在导航窗格中,选择私有注册表

  4. Private registry(私有注册表)页面上的 Replication configuration(复制配置)部分,选择 Edit(编辑)。

  5. 要删除所有复制规则,请选择 Delete all(全部删除)。此步骤需要确认。

使用手动删除服务相关角色 IAM

使用IAM控制台 Amazon CLI、或删除AWSServiceRoleForECRReplication服务相关角色。 Amazon API有关更多信息,请参阅IAM用户指南中的删除服务相关角色