Je souhaite autoriser un compte secondaire à se connecter à mon référentiel d'images Amazon ECR pour transférer ou extraire des images. Comment parvenir à cette configuration ?

Pour transférer ou extraire des images depuis ou vers le référentiel ECR d'un autre compte, vous devez créer une stratégie permettant au compte secondaire d'effectuer les appels d'API correspondants. Vous pouvez configurer cette stratégie dans la console Amazon ECS, dans l'onglet Permissions du référentiel. Une fois que vous avez configuré les autorisations et que vous avez obtenu un jeton pour le référentiel, vous pouvez transférer ou extraire des images en fonction des actions permises. L'utilisateur qui reçoit le jeton doit également disposer des autorisations d'API requises pour modifier le référentiel.

Pour permettre à un compte secondaire de transférer ou d'extraire des images depuis ou vers le référentiel ECR, vous devez l'autoriser à effectuer les appels d'API correspondants.

  1. Dans le volet de navigation de gauche de la console Amazon ECS, sélectionnez Repositories.
  2. Cliquez sur le nom du référentiel que vous souhaitez modifier.
  3. Dans l'onglet Permissions, sélectionnez Add.
  4. Remplissez les spécificités des autorisations, telles que le numéro de compte du compte secondaire et les actions que ce dernier pourra exécuter au niveau du référentiel, puis sélectionnez Save.

Pour voir un exemple, consultez la section Exemple d'autorisation d'autres comptes.

Après avoir demandé le jeton d'authentification temporaire (valable pendant 12 heures), le compte secondaire pourra effectuer ces actions au niveau du référentiel. Lors du transfert ou de l'extraction d'images en dehors d'ECS, vous pouvez obtenir le jeton d'authentification Docker pour ce compte avec la commande get-login suivante :

$(aws ecr get-login –registry-ids --region )

Les commandes Docker habituelles de transfert et d'extraction sont disponibles avec ce jeton. Lorsque vous utilisez ECS pour extraire des images du référentiel, spécifiez l'image dans la définition de la tâche.

Remarque : dans un cas ou dans l'autre, le compte responsable de l'acquisition du jeton doit disposer des autorisations requises pour les appels d'API nécessaires dans le compte du référentiel. Pour voir des exemples, consultez la section Stratégies gérées Amazon ECR.

Pour découvrir comment activer le débogage Docker, consultez la section Activation de la sortie de débogage Docker.

Amazon EC2 Container Service (Amazon ECS), Amazon EC2 Container Registry (Amazon ECR), référentiel, entre les comptes


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 04/08/2016