本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon ECR 中的私有注册表权限
Amazon ECR 使用注册表策略在私有注册表级别向 Amazon 主体授予权限。
范围是通过选择注册表策略版本来设置的。有两个版本具有不同的注册表策略范围:版本 1 (V1) 和版本 2 (V2)。V2 是扩展的注册表策略范围,包括所有 ECR 权限。有关 API 操作的完整列表,请参阅 Amazon ECR API 指南。V2 版本是默认的注册表策略范围。有关查看或设置注册表策略范围的更多信息,请参阅切换到扩展注册表策略范围。有关 Amazon ECR 私有注册表常规设置的信息,请参阅Amazon ECR 中的私有注册表设置。
版本详情如下。
-
V1 — 对于版本 1,Amazon ECR 仅在私有注册表级别强制执行以下权限。
-
ecr:ReplicateImage
– 向其他账户(称为源注册表)授予将其镜像复制到您的注册表的权限。这仅用于跨账户复制。 -
ecr:BatchImportUpstreamImage
– 授权检索外部镜像并将其导入到您的私有注册表。 -
ecr:CreateRepository
– 授予在私有注册表中创建存储库的权限。如果该私有注册表中尚未存在用于存储复制镜像或缓存镜像的存储库,则需要此权限。
-
-
V2 — 对于版本 2,Amazon ECR 允许策略中的所有 ECR 操作,并在所有 ECR 请求中强制执行注册策略。
您可以使用控制台或 CLI 来查看或更改您的注册表策略范围。
注意
虽然可以将ecr:*
操作添加到私有注册表策略中,但最佳做法是仅根据您正在使用的功能添加所需的特定操作,而不是使用通配符。