设置私有注册表权限声明 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置私有注册表权限声明

您可以使用以下步骤添加或更新注册表的权限策略。您可以为每个注册表添加多个策略语句。有关示例策略,请参阅 私有注册表策略示例

要为私有注册表配置权限策略 (Amazon Web Services Management Console)

  1. 从打开 Amazon ECR 控制台https://console.aws.amazon.com/ecr/

  2. 在导航栏中,选择您配置注册表策略的区域。

  3. 在导航窗格中,选择注册表

  4. 在存储库的注册表页面上,选择私密注册表,然后选择Permissions (权限)

  5. 在存储库的私有注册表权限页面上,选择生成语句

  6. 使用策略生成器完成以下步骤以定义策略语句。

    1. 适用于策略类型中,选择跨账户策略

    2. 适用于语句 ID下,输入唯一的语句 ID。此字段用作Sid注册表策略。

    3. 适用于账户中,输入要向其授予权限的每个帐户的帐户 ID。指定多个账户 ID 时,请将它们以逗号分隔。

  7. 展开预览策略语句部分查看注册表权限策略语句。

  8. 确认策略声明后,选择添加到策略将策略保存到您的注册表。

要为私有注册表配置权限策略 (Amazon CLI)

  1. 创建一个名为的文件registry_policy.json并使用注册表策略填充它。 

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. 使用策略文件创建注册表策略。

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. 检索要确认的注册表策略。

    aws ecr get-registry-policy \
      --region us-west-2