将服务相关角色用于 Amazon ECR - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) 使用Amazon Identity and Access Management(IAM)服务相关角色以提供复制资源的访问权限。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon ECR 直接相关。Amazon ECR 预定义服务相关角色。它包括该服务为您的注册表支持跨区域和跨账户映像复制所需的所有权限。为注册表配置复制后,系统会代表您自动创建与服务链接的角色。有关更多信息,请参阅 私有注册表设置

服务相关角色可让您轻松设置 Amazon ECR 的复制。这是因为,使用它,您不必手动添加所有必要的权限。Amazon ECR 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon ECR 可以代入该角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。

只有在禁用您的注册表上的复制后,才能删除服务相关角色。这可确保您不会无意中删除 Amazon ECR 复制您的映像的权限。

有关支持服务相关角色的其他服务的信息,请参阅Amazon使用 IAM 的服务. 在此链接到页面上,查找具有中的服务相关角色column. 选择,以查看该服务的相关服务相关角色文档。

Amazon ECR 的服务相关角色权限

Amazon ECR 使用名为的服务相关角色。Amazon 服务拒绝复制— 允许 Amazon ECR 跨多个账户复制映像。

Amazon ServiceRoleRoleUrReplication Services 相关角色信任以下服务来代入该角色:

  • replication.ecr.amazonaws.com

以下ECRReplicationServiceRolePolicy角色权限策略允许 Amazon ECR 对资源使用以下操作:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": "*" } ] }
注意

这些区域有:ReplicateImage是 Amazon ECR 用于复制的内部 API,不能直接调用。

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

为 Amazon ECR 创建服务相关角色

您无需手动创建 Amazon ECR 服务相关角色。当您为您的注册表配置复制设置时Amazon Web Services Management Console,Amazon CLI,或AmazonAPI 中,Amazon ECR 将为您创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您为注册表配置复制设置时,Amazon ECR 将再次为您创建服务相关角色。

为 Amazon ECR 编辑服务相关角色

Amazon ECR 不允许您手动编辑 Amazon 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Amazon ECR 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使实体。但是,您必须先删除每个区域中的注册表的复制配置才能手动删除服务相关角色。

注意

如果您尝试删除资源,而 Amazon ECR 服务仍在使用角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。

删除所用的 Amazon ECR 资源

  1. 从打开 Amazon ECR 控制台https://console.aws.amazon.com/ecr/.

  2. 从导航栏中,选择您的复制配置所在的区域。

  3. 在导航窗格中,选择注册表设置.

  4. 同时选择跨区域复制跨账户复制设置。

  5. 选择 Save

使用 IAM 手动删除服务相关角色

使用 IAM 控制台,Amazon CLI,或AmazonAPI 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

Amazon ECR 服务相关角色支持的受支持区域

Amazon ECR 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon 区域和终端节点