Amazon ECR 托管策略 - Amazon ECR
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon ECR 托管策略

Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 用户或 EC2 实例,以实现对 Amazon ECR 资源和 API 操作的不同级别的控制。您可以直接应用这些策略,或者也可以使用它们作为自行创建策略的起点。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API Reference 中的操作

AmazonEC2ContainerRegistryFullAccess

对于希望为 IAM 用户或角色提供完全管理员访问权限以管理其使用 Amazon ECR 的客户,此托管策略是其起点。Amazon ECR 生命周期策略功能使客户可以指定存储库中映像的生命周期管理。生命周期策略事件作为 CloudTrail 事件报告,并且 Amazon ECR 与 AWS CloudTrail 集成以直接在 Amazon ECR 控制台中显示客户的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM 策略包含促进此行为的 cloudtrail:LookupEvents 权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryPowerUser

此托管策略授予对 Amazon ECR 的高级用户访问权限,从而允许对存储库进行读写访问,但不允许用户删除存储库或更改应用于存储库的策略文档。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" }] }

AmazonEC2ContainerRegistryReadOnly

此托管策略授予对 Amazon ECR 的只读访问权限,例如,能够列出存储库和存储库中的映像,还能通过 Docker CLI 从 Amazon ECR 中拉取映像。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage" ], "Resource": "*" }] }