Amazon Amazon 弹性容器注册表的托管策略 - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Amazon 弹性容器注册表的托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon ECR 提供了多个托管策略,您可以将这些策略附加到 IAM 身份或 Amazon EC2 实例。这些托管策略允许对访问 Amazon ECR 资源和 API 操作进行不同级别的控制。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API 参考中的操作

AmazonEC2ContainerRegistryFullAccess

您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加到 IAM 身份。

您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一个策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon ECR 的使用。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中镜像的生命周期管理。生命周期策略事件作为 CloudTrail 事件报告。Amazon ECR 已与集成 Amazon CloudTrail ,因此它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM policy 包含促进此行为的 cloudtrail:LookupEvents 权限。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人完全访问所有 Amazon ECR API。

  • cloudtrail— 允许委托人查找由 CloudTrail捕获的管理事件或 Amazon CloudTrail Insights 事件。

AmazonEC2ContainerRegistryFullAccess 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加到 IAM 身份。

此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。

AmazonEC2ContainerRegistryPowerUser 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加到 IAM 身份。

此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryReadOnly 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息,请参阅 用于缓存提取的 Amazon ECR 服务相关角色

ECRReplicationServiceRolePolicy

您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色

Amazon ECR 更新了托 Amazon 管政策

查看自该服务开始跟踪这些更改以来对 Amazon ECR Amazon 托管政策更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSECRPullThroughCache_ServiceRolePolicy – 对现有策略的更新

Amazon ECR 将新权限添加到 AWSECRPullThroughCache_ServiceRolePolicy 策略。这些权限允许 Amazon ECR 检索 Secrets Manager 密钥的加密内容。当使用缓存提取规则来缓存需要身份验证的上游注册表中的映像时,需要此类权限。

 2023 年 11 月 15 日

AWSECRPullThroughCache_ServiceRolePolicy:新策略

Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 AWSServiceRoleForECRPullThroughCache 服务相关角色相关。

 2021 年 11 月 29 日

ECR ReplicationService RolePolicy — 新政策

Amazon ECR 添加了新策略。此策略与用于复制功能的 AWSServiceRoleForECRReplication 服务相关角色相关。

 2020 年 12 月 4 日

AmazonEC2 ContainerRegistry FullAccess-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。这些权限允许委托人创建 Amazon ECR 服务相关角色。

 2020 年 12 月 4 日

AmazonEC2 ContainerRegistry ReadOnly-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略,该策略允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

 2019 年 12 月 10 日

AmazonEC2 ContainerRegistry PowerUser-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

 2019 年 12 月 10 日

AmazonEC2 ContainerRegistry FullAccess-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryFullAccess 策略。它们允许校长查找由 CloudTrail捕获的管理事件或 Amazon CloudTrail Insights 事件。

 2017 年 11 月 10 日

AmazonEC2 ContainerRegistry ReadOnly-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryReadOnly 策略。这些权限允许委托人描述 Amazon ECR 镜像。

 2016 年 10 月 11 日

AmazonEC2 ContainerRegistry PowerUser-更新现有政策

Amazon ECR 将新权限添加到 AmazonEC2ContainerRegistryPowerUser 策略。这些权限允许委托人描述 Amazon ECR 镜像。

 2016 年 10 月 11 日

亚马逊 EC2 ContainerRegistry ReadOnly-新政策

Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

 2015 年 12 月 21 日

亚马逊 EC2 ContainerRegistry PowerUser-新政策

Amazon ECR 添加了一项新策略,该策略授予管理权限,从而允许用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

 2015 年 12 月 21 日

亚马逊 EC2 ContainerRegistry FullAccess-新政策

Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。

 2015 年 12 月 21 日

Amazon ECR 开始跟踪更改

Amazon ECR 已开始跟踪 Amazon 托管策略的更改。

 2021 年 6 月 24 日