本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon 弹性容器注册表的托管策略
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略。
Amazon ECR 提供了多个托管策略,您可以将这些策略附加到 IAM 身份或亚马逊 EC2 实例。借助这些策略,您可对 Amazon ECR 资源和 API 操作的访问权限进行不同级别的控制。有关这些策略中提到的每个 API 操作的更多信息,请参阅 Amazon Elastic Container Registry API 参考中的操作。
主题
AmazonEC2ContainerRegistryFullAccess
您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加到 IAM 身份。
您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一个策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon ECR 的使用。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中镜像的生命周期管理。生命周期策略事件作为 CloudTrail 事件报告。Amazon ECR 已与集成 Amazon CloudTrail ,因此它可以直接在 Amazon ECR 控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess 托管 IAM policy 包含促进此行为的 cloudtrail:LookupEvents 权限。
权限详细信息
该策略包含以下权限:
-
ecr— 允许委托人完全访问所有 Amazon EC APIs R。 -
cloudtrail— 允许委托人查找由 CloudTrail捕获的管理事件或 Amazon CloudTrail Insights 事件。
AmazonEC2ContainerRegistryFullAccess 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }
AmazonEC2ContainerRegistryPowerUser
您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加到 IAM 身份。
此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。
权限详细信息
该策略包含以下权限:
-
ecr:允许主体读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。
AmazonEC2ContainerRegistryPowerUser 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryPullOnly
您可以将 AmazonEC2ContainerRegistryPullOnly 策略附加到 IAM 身份。
此策略授予从 Amazon ECR 提取容器映像的权限。如果注册表启用了缓存提取,则它还将允许从上游注册表导入映像的提取。
权限详细信息
此策略包含以下权限:
-
ecr- 允许委托人读取存储库及其各自的生命周期策略。
AmazonEC2ContainerRegistryPullOnly 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryReadOnly
您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加到 IAM 身份。
此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。
权限详细信息
此策略包含以下权限:
-
ecr- 允许委托人读取存储库及其各自的生命周期策略。
AmazonEC2ContainerRegistryReadOnly 策略如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }
AWSECRPullThroughCache_ServiceRolePolicy
您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息,请参阅 用于缓存提取的 Amazon ECR 服务相关角色。
ECRReplicationServiceRolePolicy
您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色。
ECRTemplateServiceRolePolicy
您不能将 ECRTemplateServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息,请参阅 对 Amazon ECR 使用服务相关角色。
Amazon ECR 更新了托 Amazon 管政策
查看自该服务开始跟踪这些更改以来对 Amazon ECR Amazon 托管政策更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予仅限提取权限。 |
2024 年 10 月 10 日 | |
|
Amazon ECR 添加了新策略。此策略与用于存储库创建模板功能的 |
2024 年 6 月 20 日 | |
|
AWSECRPullThroughCache_ServiceRolePolicy – 对现有策略的更新 |
Amazon ECR 将新权限添加到 |
2023 年 11 月 15 日 |
|
Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 |
2021 年 11 月 29 日 | |
|
Amazon ECR 添加了新策略。此策略与用于复制功能的 |
2020 年 12 月 4 日 | |
|
亚马逊 EC2 ContainerRegistryFullAccess-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2020 年 12 月 4 日 |
|
亚马逊 EC2 ContainerRegistryReadOnly-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2019 年 12 月 10 日 |
|
亚马逊 EC2 ContainerRegistryPowerUser-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2019 年 12 月 10 日 |
|
亚马逊 EC2 ContainerRegistryFullAccess-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2017 年 11 月 10 日 |
|
亚马逊 EC2 ContainerRegistryReadOnly-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2016 年 10 月 11 日 |
|
亚马逊 EC2 ContainerRegistryPowerUser-对现有政策的更新 |
Amazon ECR 将新权限添加到 |
2016 年 10 月 11 日 |
|
Amazon ECR 添加了一个新策略,用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 添加了一项新策略,该策略授予管理权限,从而允许用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 开始跟踪更改 |
Amazon ECR 已开始跟踪 Amazon 托管策略的更改。 |
2021 年 6 月 24 日 |