Amazon 中的私有注册权限 ECR - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 中的私有注册权限 ECR

Amazon ECR 使用注册策略向 Amazon 委托人授予私有注册表级别的权限。

范围是通过选择注册表策略版本来设置的。有两个版本具有不同的注册表策略范围:版本 1 (V1) 和版本 2 (V2)。V2 是扩展后的注册表策略范围,包括所有ECR权限。有关API操作的完整列表,请参阅《Amazon ECR API 指南》。V2 版本是默认的注册表策略范围。有关查看或设置注册表策略范围的更多信息,请参阅切换到扩展注册表策略范围。有关您的 Amazon ECR 私有注册表常规设置的信息,请参阅Amazon 中的私有注册表设置 ECR

版本详情如下。

  • V1 — 对于版本 1,Amazon ECR 仅在私有注册表级别强制执行以下权限。

    • ecr:ReplicateImage – 向其他账户(称为源注册表)授予将其镜像复制到您的注册表的权限。这仅用于跨账户复制。

    • ecr:BatchImportUpstreamImage – 授权检索外部镜像并将其导入到您的私有注册表。

    • ecr:CreateRepository – 授予在私有注册表中创建存储库的权限。如果该私有注册表中尚未存在用于存储复制镜像或缓存镜像的存储库,则需要此权限。

  • V2 — 对于版本 2,Amazon ECR 允许策略中的所有ECR操作,并在所有ECR请求中强制执行注册策略。

您可以使用控制台或CLI来查看或更改您的注册表策略范围。

注意

虽然可以将ecr:*操作添加到私有注册表策略中,但最佳做法是仅根据您正在使用的功能添加所需的特定操作,而不是使用通配符。