用于复制的 Amazon ECR 服务相关角色 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

用于复制的 Amazon ECR 服务相关角色

Amazon ECR 的服务相关角色权限

Amazon ECR 使用名为 AWSServiceRoleForECRReplication 的服务相关角色 - 允许 Amazon ECR 跨多个账户复制镜像。

AWSServiceRoleForECRReplication 服务相关角色信任以下服务以担任该角色:

  • replication.ecr.amazonaws.com

以下 ECRReplicationServiceRolePolicy 角色权限策略允许 Amazon ECR 对资源使用以下操作:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": "*" } ] }
注意

ReplicateImage 是 Amazon ECR 用于复制的内部 API,不能直接调用。

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 Amazon ECR 创建服务相关角色

无需手动创建 Amazon ECR 服务相关角色。当您在 Amazon Web Services Management Console、Amazon CLI、或Amazon API 中为注册表配置复制设置时,Amazon ECR 将为您创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您为注册表配置复制设置时,Amazon ECR 将再次为您创建服务相关角色。

为 Amazon ECR 编辑服务相关角色

Amazon ECR 不允许您手动编辑 AWSServiceRoleForECRReplication 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

为 Amazon ECR 删除服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先删除每个区域中的注册表复制配置,才能手动删除服务相关角色。

注意

如果您尝试删除资源,而 Amazon ECR 服务仍在使用角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。

要删除 AWSServiceRoleForECRReplication 服务相关角色所使用的 Amazon ECR 资源

  1. 打开位于 https://console.aws.amazon.com/ecr/ 的 Amazon ECR 控制台。

  2. 从导航栏中,选择为其设置复制配置的区域。

  3. 在导航窗格中,选择注册表设置

  4. 同时选择跨区域复制跨账户复制设置。

  5. 选择保存

使用 IAM 手动删除 服务相关角色

使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForECRReplication 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色