在 Amazon ECR 中设置私有仓库政策声明 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon ECR 中设置私有仓库政策声明

您可以按照以下步骤向中的存储库添加访问策略声明。 Amazon Web Services Management Console 您可以为每个存储库添加多个策略声明。有关示例策略,请参阅 Amazon ECR 中的私有存储库策略示例

重要

Amazon ECR 要求用户有权通过 IAM policy 调用 ecr:GetAuthorizationToken API,然后才能对注册表进行身份验证并从任意 Amazon ECR 存储库推送或提取任意镜像。Amazon ECR 提供多个托管 IAM 策略,用于控制不同级别下的用户访问;有关更多信息,请参阅 Amazon Elastic Container Registry 基于身份的策略示例

设置存储库策略声明
  1. https://console.aws.amazon.com/ecr/repositories 打开 Amazon ECR 控制台。

  2. 从导航栏中,选择包含要对其设置策略声明的存储库的区域。

  3. 在导航窗格中,选择存储库

  4. 存储库页面上,选择要对其设置策略声明的存储库,以查看存储库的内容。

  5. 从存储库镜像列表视图的导航窗格中,选择权限编辑

    注意

    如果您未看到权限选项,请确保您处于存储库镜像列表视图中。

  6. 编辑权限页面上,选择添加声明

  7. 对于声明名称,输入声明的名称。

  8. 对于效果,选择策略语句产生的结果是允许还是明确拒绝。

  9. 对于委托人,选择策略声明应用到的范围。有关更多信息,请参阅 IAM 用户指南中的 Amazon JSON 策略元素:委托人

    • 通过选中 Everyone (*) 复选框,可以将该语句应用于所有经过身份验证的 Amazon 用户。

    • 对于服务委托人,指定服务委托人名称 (例如 ecs.amazonaws.com) 以将声明应用到特定的服务。

    • 对于Amazon 账户 ID,请指定一个 Amazon 账号(例如111122223333),以将该账单应用于特定 Amazon 账户下的所有用户。可以使用逗号分隔的列表指定多个账户。

      重要

      您授予权限的账户必须启用所创建存储库策略的区域,否则将发生错误。

    • 对于 IAM 实体,请选择您的 Amazon 账户下要应用声明的角色或用户。

      注意

      对于目前不支持的更复杂的存储库策略 Amazon Web Services Management Console,您可以使用set-repository-policy Amazon CLI 命令应用该策略。

  10. 对于操作,从各个 API 操作的列表中选择应当应用策略声明的 Amazon ECR API 操作的范围。

  11. 完成后,选择保存设置策略。

  12. 对要添加的每个存储库策略重复以上步骤。