设置存储库策略声明 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置存储库策略声明

您可以通过以下步骤在 Amazon Web Services Management Console中向存储库添加访问策略声明。您可以为每个存储库添加多个策略声明。有关示例策略,请参阅 存储库策略示例

重要

Amazon ECR 要求用户有权调用ecr:GetAuthorizationTokenAPI,然后才能对镜像仓库进行身份验证并对任意 Amazon ECR 存储库推送或提取任意镜像。Amazon ECR 提供多个托管 IAM 策略,在不同级别控制用户访问;有关更多信息,请参阅。Amazon Elastic Container Registry 基于身份的策略示例

设置存储库策略声明

  1. 从打开 Amazon ECR 控制台https://console.aws.amazon.com/ecr/repositories

  2. 从导航栏中,选择包含要对其设置策略声明的存储库的区域。

  3. 在导航窗格中,选择 Repositories

  4. 在存储库的存储库页面上,选择要对其设置策略声明的存储库,以查看存储库的内容。

  5. 从存储库镜像列表视图的导航窗格中,选择Permissions (权限)编辑

    注意

    如果您未看到Permissions (权限)选项,请确保您处于存储库映像列表视图中。

  6. Edit permissions (编辑权限) 页面上,选择 Add statement (添加声明)

  7. 对于 Statement name (声明名称),输入声明的名称。

  8. 对于 Effect (效果),选择策略语句产生的结果是允许还是明确拒绝。

  9. 对于 Principal (委托人),选择策略语句应用到的范围。有关更多信息,请参阅 。AmazonJSON 策略元素:委托人中的IAM 用户指南

    • 您可以将该语句应用于所有经过身份验证的Amazon用户,方法是选择每个人 (*)”复选框。

    • 对于 Service principal (服务委托人),指定服务委托人名称(例如ecs.amazonaws.com)以将语句应用到特定的服务。

    • 适用于Amazon账户 ID,请指定一个Amazon帐号(例如111122223333)将语句应用到特定Amazonaccount. 可以使用逗号分隔的列表指定多个账户。

      重要

      您授予权限的帐户必须启用您正在创建存储库策略的区域,否则将发生错误。

    • 适用于IAM 实体中,选择您的Amazon帐户以将语句应用到。

      注意

      对于 Amazon Web Services Management Console 中当前不支持的较复杂的存储库策略,您可以使用 set-repository-policy Amazon CLI 命令应用此策略。

  10. 适用于操作中,从各个 API 操作的列表中选择应当应用策略声明的 Amazon ECR API 操作的范围。

  11. 完成后,选择 Save 设置策略。

  12. 对要添加的每个存储库策略重复以上步骤。