对 使用服务相关角色Amazon ECR - Amazon ECR
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 使用服务相关角色Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) 使用 AWS Identity and Access Management (IAM) 服务相关角色提供对复制资源的访问权限。服务相关角色是一种与 IAM 直接关联的独特类型的 Amazon ECR. 角色。服务相关角色由 预定义Amazon ECR。它包括该服务为注册表支持跨区域和跨账户映像复制所需的所有权限。为注册表配置复制后,系统会代表您自动创建 服务相关角色。有关更多信息,请参阅私有注册表设置。 />。

服务相关角色使使用 设置复制Amazon ECR变得更轻松。这是因为,通过使用它,您不必手动添加所有必要的权限。 Amazon ECR 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon ECR 可以代入其角色。定义的权限包括信任策略和权限策略。权限策略不能附加到任何其他 IAM 实体。

只有在您的注册表上禁用复制后,才能删除服务相关角色。这可确保您不会无意中删除 Amazon ECR 的映像复制权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务. 在此链接到页面上,查找 Service-linked role (服务相关角色列中具有 Yes (是) 的服务。选择包含链接的 Yes (是) 以查看该服务的相关服务相关角色文档。

的服务相关角色权限Amazon ECR

Amazon ECR 使用名为 的服务相关角色AWSServiceRoleForECRReplication–Allows Amazon ECR to replicate images across multiple accounts.。

AWSServiceRoleForECRReplication 服务相关角色信任以下服务代入该角色:

  • replication.ecr.amazonaws.com

角色权限策略Amazon ECR允许 对 资源使用以下 操作:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:ReplicateImage" ], "Resource": "*" } ] }
注意

ReplicateImage 是 Amazon ECR 用于复制的内部 API,不能直接调用。

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限.

为 创建服务相关角色Amazon ECR

无需手动创建 Amazon ECR 服务相关角色。当您在 AWS 管理控制台、 AWS CLI或 AWS API 中为您的注册表配置复制设置时, 会为您Amazon ECR创建服务相关角色。

如果您删除此服务相关角色并需要再次创建它,则可以使用相同的过程在您的账户中重新创建该角色。当您为注册表配置复制设置时, 会再次为您Amazon ECR创建服务相关角色。

编辑 的服务相关角色Amazon ECR

Amazon ECR 不允许手动编辑AWSServiceRoleForECRReplication服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 编辑角色的说明。IAM. 有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色.

删除 的服务相关角色 Amazon ECR

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就没有未被主动监控或维护的未使用实体。但是,您必须先删除每个区域中注册表的复制配置,然后才能手动删除服务相关角色。

注意

如果您在Amazon ECR服务仍在使用角色时尝试删除资源,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。

删除 Amazon ECR 所用的 AWSServiceRoleForECRReplication 资源

  1. 通过以下网址打开 Amazon ECR 控制台:https://console.amazonaws.cn/ecr/

  2. 从导航栏中,选择设置复制配置的区域。

  3. 在导航窗格中,选择 Registry settings (注册表设置)。

  4. 同时选择 Cross-Region replication (跨区域复制) 和 Cross-account replication settings (跨账户复制设置)。

  5. 选择 Save.

使用 手动删除服务相关角色 IAM

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForECRReplication 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色.

Amazon ECR 服务相关角色的受支持区域

Amazon ECR 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅AWS Regions and Endpoints.