本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon 弹性容器注册表的托管策略
Amazon ECR 提供了一些托管策略,您可以将它们附加到 IAM 用户或 Amazon EC2 实例。借助这些策略,您可对 Amazon ECR 资源和 API 操作的访问权限进行不同级别的控制。您可以直接应用这些策略,也可以使用它们作为自行创建策略的起点。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API 参考中的操作。
主题
AmazonEC2ContainerRegistryFullAccess
您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加到 IAM 身份。
您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一个策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon ECR 的使用。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中镜像的生命周期管理。生命周期策略事件作为 CloudTrail 事件报告。Amazon ECR 已与集成 Amazon CloudTrail ,因此它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM policy 包含促进此行为的 cloudtrail:LookupEvents 权限。
权限详细信息
此策略包含以下权限:
-
ecr- 允许委托人完全访问所有 Amazon ECR API。 -
cloudtrail— 允许委托人查找由 CloudTrail捕获的管理事件或 Amazon CloudTrail Insights 事件。
AmazonEC2ContainerRegistryFullAccess 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }
AmazonEC2ContainerRegistryPowerUser
您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加到 IAM 身份。
此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。
权限详细信息
此策略包含以下权限:
-
ecr- 允许委托人读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。
AmazonEC2ContainerRegistryPowerUser 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryReadOnly
您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加到 IAM 身份。
此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。
权限详细信息
此策略包含以下权限:
-
ecr- 允许委托人读取存储库及其各自的生命周期策略。
AmazonEC2ContainerRegistryReadOnly 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }
AWSECRPullThroughCache_ServiceRolePolicy
您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息,请参阅 用于缓存提取的 Amazon ECR 服务相关角色。
ECRReplicationServiceRolePolicy
您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色。
Amazon ECR 更新了托 Amazon 管政策
查看自该服务开始跟踪这些更改以来对 Amazon ECR Amazon 托管政策更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWSECRPullThroughCache_ServiceRolePolicy – 对现有策略的更新 |
Amazon ECR 将新权限添加到 |
2023 年 11 月 15 日 |
|
Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 |
2021 年 11 月 29 日 | |
|
Amazon ECR 添加了新策略。此策略与用于复制功能的 |
2020 年 12 月 4 日 | |
|
Amazon ECR 将新权限添加到 |
2020 年 12 月 4 日 | |
|
Amazon ECR 将新权限添加到 |
2019 年 12 月 10 日 | |
|
Amazon ECR 将新权限添加到 |
2019 年 12 月 10 日 | |
|
Amazon ECR 将新权限添加到 |
2017 年 11 月 10 日 | |
|
Amazon ECR 将新权限添加到 |
2016 年 10 月 11 日 | |
|
Amazon ECR 将新权限添加到 |
2016 年 10 月 11 日 | |
|
Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 添加了一项新策略,该策略授予管理权限,从而允许用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 开始跟踪更改 |
Amazon ECR 已开始跟踪 Amazon 托管策略的更改。 |
2021 年 6 月 24 日 |