适用于 Amazon Elastic Container Registry 的 Amazon 托管策略 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon Elastic Container Registry 的 Amazon 托管策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 身份或 Amazon EC2 实例。借助这些策略,您可对 Amazon ECR 资源和 API 操作的访问权限进行不同级别的控制。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API 参考中的操作

AmazonEC2ContainerRegistryFullAccess

您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加到 IAM 身份。

您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一个策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon ECR 的使用。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中镜像的生命周期管理。生命周期策略事件以 CloudTrail 事件的形式报告。Amazon ECR 与 Amazon CloudTrail 集成,因此它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM policy包含促进此行为的 cloudtrail:LookupEvents 权限。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人完全访问所有 Amazon ECR API。

  • cloudtrail - 允许委托人查找管理事件或 CloudTrail 捕获的 Amazon CloudTrail 洞察事件。

AmazonEC2ContainerRegistryFullAccess 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }

AmazonEC2ContainerRegistryPowerUser

您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加到 IAM 身份。

此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

权限详细信息

该策略包含以下权限:

  • ecr:允许主体读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。

AmazonEC2ContainerRegistryPowerUser 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryPullOnly

您可以将 AmazonEC2ContainerRegistryPullOnly 策略附加到 IAM 身份。

此策略授予从 Amazon ECR 提取容器映像的权限。如果注册表启用了缓存提取,则它还将允许从上游注册表导入映像的提取。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryPullOnly 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryReadOnly

您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加到 IAM 身份。

此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryReadOnly 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }

AWSECRPullThroughCache_ServiceRolePolicy

您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息,请参阅 用于缓存提取的 Amazon ECR 服务相关角色

ECRReplicationServiceRolePolicy

您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色

ECRTemplateServiceRolePolicy

您不能将 ECRTemplateServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色

Amazon 托管策略的 Amazon ECR 更新

查看有关 Amazon ECR(自从其开始跟踪更新更改以来)的 Amazon 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。

更改 描述 日期

AmazonEC2ContainerRegistryPullOnly – 新策略

Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予仅限提取权限。

2024 年 10 月 10 日

ECRTemplateServiceRolePolicy – 新策略

Amazon ECR 添加了新策略。此策略与用于存储库创建模板功能的 ECRTemplateServiceRolePolicy 服务相关角色关联。

2024 年 6 月 20 日

AWSECRPullThroughCache_ServiceRolePolicy – 对现有策略的更新

Amazon ECR 将新权限添加到 AWSECRPullThroughCache_ServiceRolePolicy 策略。这些权限允许 Amazon ECR 检索 Secrets Manager 密钥的加密内容。当使用缓存提取规则来缓存需要身份验证的上游注册表中的映像时,需要此类权限。

2023 年 11 月 15 日

AWSECRPullThroughCache_ServiceRolePolicy – 新策略

Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 AWSServiceRoleForECRPullThroughCache 服务相关角色相关。

2021 年 11 月 29 日

ECRReplicationServiceRolePolicy – 新策略

Amazon ECR 添加了新策略。此策略与用于复制功能的 AWSServiceRoleForECRReplication 服务相关角色相关。

2020 年 12 月 4 日

AmazonEC2ContainerRegistryFullAccess - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。这些权限允许委托人创建 Amazon ECR 服务相关角色。

2020 年 12 月 4 日

AmazonEC2ContainerRegistryReadOnly - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略,该策略允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryPowerUser - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryFullAccess - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。这些权限允许委托人查找管理事件或 CloudTrail 捕获的 Amazon CloudTrail 洞察事件。

2017 年 11 月 10 日

AmazonEC2ContainerRegistryReadOnly - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略。这些权限允许委托人描述 Amazon ECR 镜像。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryPowerUser - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人描述 Amazon ECR 镜像。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryReadOnly - 新策略

Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryPowerUser - 新策略

Amazon ECR 添加了一项新策略,该策略授予管理权限,从而允许用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryFullAccess - 新策略

Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。

2015 年 12 月 21 日

Amazon ECR 开始跟踪更改

Amazon ECR 开始跟踪其 Amazon 托管策略的更改。

2021 年 6 月 24 日