适用于 Amazon Elastic Container Registry 的 Amazon 托管策略 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon Elastic Container Registry 的 Amazon 托管策略

Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 用户或 Amazon EC2 实例。借助这些策略,您可对 Amazon ECR 资源和 API 操作的访问权限进行不同级别的控制。您可以直接应用这些策略,也可以使用它们作为自行创建策略的起点。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API 参考中的操作

AmazonEC2ContainerRegistryFullAccess

您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加得到 IAM 身份。

您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一个策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon ECR 的使用。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中镜像的生命周期管理。生命周期策略事件以 CloudTrail 事件的形式报告。Amazon ECR 与 Amazon CloudTrail 集成,因此它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM policy包含促进此行为的 cloudtrail:LookupEvents 权限。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人完全访问所有 Amazon ECR API。

  • cloudtrail - 允许委托人查找管理事件或 CloudTrail 捕获的 Amazon CloudTrail 洞察事件。

AmazonEC2ContainerRegistryFullAccess 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }

AmazonEC2ContainerRegistryPowerUser

您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加得到 IAM 身份。

此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。

AmazonEC2ContainerRegistryPowerUser 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryReadOnly

您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加得到 IAM 身份。

此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryReadOnly 策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }

AWSECRPullThroughCache_ServiceRolePolicy

您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息,请参阅对 Amazon ECR 使用服务相关角色

ECRReplicationServiceRolePolicy

您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色

Amazon 托管策略的 Amazon ECR 更新

查看有关 Amazon ECR(自从其开始跟踪更新更改以来)的 Amazon 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。

更改 说明 日期

AWSECRPullThroughCache_ServiceRolePolicy – 新策略

Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 AWSServiceRoleForECRPullThroughCache 服务相关角色相关。

2021 年 11 月 29 日

ECRReplicationServiceRolePolicy – 新策略

Amazon ECR 添加了新策略。此策略与用于复制功能的 AWSServiceRoleForECRReplication 服务相关角色相关。

2020 年 12 月 4 日

AmazonEC2ContainerRegistryFullAccess - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。这些权限允许委托人创建 Amazon ECR 服务相关角色。

2020 年 12 月 4 日

AmazonEC2ContainerRegistryReadOnly - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略,该策略允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryPowerUser - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryFullAccess - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。这些权限允许委托人查找管理事件或 CloudTrail 捕获的 Amazon CloudTrail 洞察事件。

2017 年 11 月 10 日

AmazonEC2ContainerRegistryReadOnly - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略。这些权限允许委托人描述 Amazon ECR 镜像。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryPowerUser - 对现有策略的更新

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人描述 Amazon ECR 镜像。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryReadOnly - 新策略

Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryPowerUser - 新策略

Amazon ECR 添加了一项新策略,该策略授予管理权限,从而允许用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryFullAccess - 新策略

Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。

2015 年 12 月 21 日

Amazon ECR 开始跟踪更改

Amazon ECR 开始跟踪其 Amazon 托管策略的更改。

2021 年 6 月 24 日