设置私有注册表权限语句 - Amazon ECR
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置私有注册表权限语句

您可以使用以下步骤为注册表添加或更新权限策略。您可以为每个注册表添加多个策略语句。有关示例策略,请参阅 私有注册表策略示例.

为私有注册表配置权限策略 (AWS 管理控制台)

  1. 通过以下网址打开 Amazon ECR 控制台:https://console.amazonaws.cn/ecr/

  2. 从导航栏中,选择要在其中配置注册表策略的区域。

  3. 在导航窗格中,选择注册。

  4. Registrys (注册表) 页面上,选择您的 Private registry (私有注册表),然后选择 Permissions (权限)。

  5. Private registry permissions (私有注册表权限) 页面上,选择 Generate statement (生成语句)。

  6. 完成以下步骤以使用策略生成器定义策略声明。

    1. 对于 Policy type (策略类型),选择 Cross-account policy (跨账户策略)。

    2. 对于 Statement ID (语句 ID),输入唯一的语句 ID。此字段用作注册表策略Sid上的 。

    3. 对于 Accounts (账户IDs),输入要向其授予权限的每个账户的账户。指定多个账户 时IDs,请使用逗号将它们隔开。

  7. 展开 Preview policy statement (预览策略语句) 部分以查看注册表权限策略语句。

  8. 确认策略语句后,选择 Add to policy (添加到策略) 以将策略保存到您的注册表。

为私有注册表配置权限策略 (AWS CLI)

  1. 创建一个名为 的文件registry_policy.json并使用注册表策略填充该文件。 

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

  2. 使用策略文件创建注册表策略。

    aws ecr put-registry-policy \
      --policy-text file://registry_policy.json \
      --region us-west-2

  3. 检索注册表的策略以确认。

    aws ecr get-registry-policy \
      --region us-west-2