AmazonAmazon Elastic Container Registry 的托管策略 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon Elastic Container Registry 的托管策略

Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 用户或 Amazon EC2 实例。这些策略允许对 Amazon ECR 资源和 API 操作的访问权限的不同级别的控制。您可以直接应用这些策略,或将它们用作创建自己的策略的起点。有关这些策略中提到的每个 API 操作的更多信息,请参阅操作中的Amazon Elastic Container Registry API 参考.

AmazonEC2ContainerRegistryFullAccess

您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加得到 IAM 身份。

您可以将此托管策略作为起始点,根据您的特定需求创建自己的 IAM 策略。例如,您可以创建一项策略,专门为 IAM 用户或角色提供完全管理员访问权限以管理 Amazon ECR 的使用。使用Amazon ECR 生命周期策略功能,您可以指定存储库中映像的生命周期管理。生命周期策略事件报告为 CloudTrail 事件。Amazon ECR 与Amazon CloudTrail,以便它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM 策略包含促进此行为的 cloudtrail:LookupEvents 权限。

权限详细信息

此策略包含以下权限:

  • ecr— 允许委托人完全访问所有 Amazon ECR API。

  • cloudtrail— 允许委托人查找管理事件或Amazon CloudTrailCloudTrail 捕获的洞察事件。

这些区域有:AmazonEC2ContainerRegistryFullAccess策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryPowerUser

您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加得到 IAM 身份。

此策略授予管理权限,以授予 IAM 用户对存储库进行读写操作,但不允许其删除存储库或更改应用于存储库的策略文档。

权限详细信息

此策略包含以下权限:

  • ecr— 允许委托人读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。

这些区域有:AmazonEC2ContainerRegistryPowerUser策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryReadOnly

您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加得到 IAM 身份。

此策略为 Amazon ECR 授予只读权限。这包括列出存储库中的存储库和映像的功能。它还包括使用 Docker CLI 从亚马逊 ECR 提取映像的功能。

权限详细信息

此策略包含以下权限:

  • ecr— 允许委托人读取存储库及其各自的生命周期策略。

这些区域有:AmazonEC2ContainerRegistryReadOnly策略如下所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }

ECRReplicationServiceRolePolicy

您不能附加ECRReplicationServiceRolePolicy添加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 Amazon ECR

Amazon ECR 更新到Amazon托管策略

要查看有关更新的详细信息AmazonAmazon ECR 的托管策略(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅 Amazon ECR 文档历史记录页面上的 Amazon ECR 源。

更改 说明 日期

Amazon ECR 开始跟踪更改

Amazon ECR 开始跟踪的变更Amazon托管策略。

2021 年 6 月 24 日

AmazonEC2ContainerRegistryFullAccess— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryFullAccess政策。这些权限允许委托人创建 Amazon ECR 服务相关角色。

2020 年 12 月 4 日

AmazonEC2ContainerRegistryReadOnly— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryReadOnly策略,该策略允许委托人读取生命周期策略、列出标签以及描述图像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryPowerUser— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryPowerUser政策。它们允许委托人读取生命周期策略、列出标签以及描述图像的扫描结果。

2019 年 12 月 10 日

AmazonEC2ContainerRegistryFullAccess— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryFullAccess政策。它们允许委托人查找管理事件或Amazon CloudTrailCloudTrail 捕获的洞察事件。

2017 年 11 月 10 日

AmazonEC2ContainerRegistryReadOnly— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryReadOnly政策。它们允许委托人描述亚马逊 ECR 图片。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryPowerUser— 对现有策略的更新

亚马逊 ECR 将新权限添加到AmazonEC2ContainerRegistryPowerUser政策。它们允许委托人描述亚马逊 ECR 图片。

2016 年 10 月 11 日

AmazonEC2ContainerRegistryReadOnly— 新策略

亚马逊 ECR 添加了一个新策略,向 Amazon ECR 授予只读权限。这些权限包括列出存储库中的存储库和映像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取映像的功能。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryPowerUser— 新策略

Amazon ECR 添加了一项新策略,授予了管理权限,以授予 IAM 用户对存储库进行读写操作,但不允许其删除存储库或更改应用于存储库的策略文档。

2015 年 12 月 21 日

AmazonEC2ContainerRegistryFullAccess— 新策略

亚马逊 ECR 添加了新策略。此策略授予对 Amazon ECR 的完全访问权限。

2015 年 12 月 21 日