本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用于复制的 Amazon ECR 服务相关角色
Amazon ECR 使用名为的服务相关角色 AWSServiceRoleForECRReplication,该角色允许 Amazon ECR 跨多个账户复制映像。
Amazon ECR 的服务相关角色权限
AWSServiceRoleForECRReplication 服务相关角色信任以下服务来代入该角色:
-
replication.ecr.amazonaws.com
以下 ECRReplicationServiceRolePolicy 角色权限策略允许 Amazon ECR 对资源使用以下操作:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": "*" } ] }
注意
ReplicateImage 是 Amazon ECR 用于复制的内部 API,不能直接调用。
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
为 Amazon ECR 创建服务相关角色
无需手动创建 Amazon ECR 服务相关角色。当您在 Amazon Web Services Management Console、或 Amazon API 中为注册表配置复制设置时 Amazon CLI,Amazon ECR 会为您创建服务相关角色。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您为注册表配置复制设置时,Amazon ECR 将再次为您创建服务相关角色。
为 Amazon ECR 编辑服务相关角色
Amazon ECR 不允许手动编辑 AWSServiceRoleForECRReplication 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
为 Amazon ECR 删除服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先删除每个区域中的注册表复制配置,才能手动删除服务相关角色。
注意
如果您尝试删除资源,而 Amazon ECR 服务仍在使用角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。
删除使用的 Amazon ECR 资源 AWSServiceRoleForECRReplication
打开位于 https://console.aws.amazon.com/ecr/
的 Amazon ECR 控制台。 -
从导航栏中,选择为其设置复制配置的区域。
-
在导航窗格中,选择私有注册表。
-
在 Private registry(私有注册表)页面上的 Replication configuration(复制配置)部分,选择 Edit(编辑)。
-
要删除所有复制规则,请选择 Delete all(全部删除)。此步骤需要确认。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 Amazon CLI、或 Amazon API 删除AWSServiceRoleForECRReplication服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色。