本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Amazon ECR 映像与 Amazon EKS 结合使用
<a name="ECR_on_EKS"></a>

您可以将 Amazon ECR 映像与 Amazon EKS 结合使用。

从 Amazon ECR 中引用映像时，您必须为映像使用完整的 `registry/repository:tag` 命名。例如 `{{aws_account_id}}.dkr.ecr.{{region}}.amazonaws.com``/{{my-repository}}:{{latest}}`。

## 所需的 IAM 权限
<a name="ECR_on_EKS_iampermissions"></a>

如果您将 Amazon EKS 工作负载托管在托管节点、自管理节点或上 AWS Fargate，请查看以下内容：
+ 在托管式节点或自行管理的节点上托管的 Amazon EKS 工作负载：必须提供 Amazon EKS Worker 节点 IAM 角色（`NodeInstanceRole`）。Amazon EKS Worker 节点 IAM 角色必须包含以下适用于 Amazon ECR 的 IAM policy 权限。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ecr:BatchCheckLayerAvailability",
                  "ecr:BatchGetImage",
                  "ecr:GetDownloadUrlForLayer",
                  "ecr:GetAuthorizationToken"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
**注意**  
如果您使用`eksctl`或 [Amazon EKS 入门](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html)中的 CloudFormation 模板来创建集群和工作节点组，则默认情况下，这些 IAM 权限将应用于您的工作节点 IAM 角色。
+ 托管于 Amazon EKS 工作负载 AWS Fargate：使用 Fargate 容器执行角色，该角色允许你的 pod 从私有 Amazon ECR 存储库中提取映像。有关更多信息，请参阅[创建 Fargate Pod 执行角色。](https://docs.aws.amazon.com/eks/latest/userguide/fargate-getting-started.html#fargate-sg-pod-execution-role)