Amazon ECR 中的私有注册表权限 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon ECR 中的私有注册表权限

Amazon ECR 使用注册表策略在私有注册表级别向 Amazon 主体授予权限。这些权限用于确定对复制和拉取缓存功能的访问权限范围。

Amazon ECR 仅在私有注册表级别强制执行以下权限。如果向注册表策略添加了任何其他操作,则将发生错误。

  • ecr:ReplicateImage – 向其他账户(称为源注册表)授予将其镜像复制到您的注册表的权限。这仅用于跨账户复制。

  • ecr:BatchImportUpstreamImage – 授权检索外部镜像并将其导入到您的私有注册表。

  • ecr:CreateRepository – 授予在私有注册表中创建存储库的权限。如果该私有注册表中尚未存在用于存储复制镜像或缓存镜像的存储库,则需要此权限。

注意

虽然可以将 ecr:* 操作添加到私有注册表权限策略,但最佳实践是仅根据您使用的功能添加所需的特定操作,而不是使用通配符。