Amazon ECR
用户指南 (API Version 2015-09-21)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

Amazon ECR 托管策略

Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 用户或 EC2 实例,以实现对 Amazon ECR 资源和 API 操作的不同级别的控制。您可以直接应用这些策略,或者也可以使用它们作为自行创建策略的起点。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API Reference 中的操作

AmazonEC2ContainerRegistryFullAccess

此策略授予对 Amazon ECR 的完全管理员访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryPowerUser

此策略授予对 Amazon ECR 的高级用户访问权限,该权限允许对存储库进行读写访问,但不允许用户删除存储库或更改应用于存储库的策略文档。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" }] }

AmazonEC2ContainerRegistryReadOnly

此策略授予对 Amazon ECR 的只读访问权限,例如能够列出存储库和存储库中的映像,还能通过 Docker CLI 从 Amazon ECR 拉取映像。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage" ], "Resource": "*" }] }