本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Elastic Container Registry 如何与 IAM 结合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理对 Amazon ECR 的访问权限之前，您应该了解哪些 IAM 功能可用于 Amazon ECR。要全面了解 Amazon ECR 和其他 Amazon 服务如何与 IAM 配合使用，请参阅 IAM *用户指南中的与 IAM 配合使用的Amazon *[服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [亚马逊 ECR 政策 Identity-based](#security_iam_service-with-iam-id-based-policies)
+ [Amazon ECR 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 Amazon ECR 标签的授权](#security_iam_service-with-iam-tags)
+ [Amazon ECR IAM 角色](#security_iam_service-with-iam-roles)

## 亚马逊 ECR 政策 Identity-based
<a name="security_iam_service-with-iam-id-based-policies"></a>

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon ECR 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

Amazon ECR 中的策略操作在操作前面使用以下前缀：`ecr:`。例如，要授予某人使用 Amazon ECR `CreateRepository` API 操作创建 Amazon ECR 存储库的权限，您应将 `ecr:CreateRepository` 操作纳入其策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon ECR 定义了一组自己的操作，以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "ecr:action1",
      "ecr:action2"
```

您也可以使用通配符 （\*) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "ecr:Describe*"
```



要查看 Amazon ECR 操作的列表，请参阅 *IAM 用户指南*中的 [Amazon Elastic Container Registry 的操作、资源和条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\*) 指示语句应用于所有资源。

```
"Resource": "*"
```



Amazon ECR 存储库资源具有以下 ARN：

```
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
```

有关 ARN 格式的更多信息，请参阅 A [mazon 资源名称 (ARN) 和 Amazon 服务](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html)命名空间。

例如，要在语句中指定 `us-east-1` 区域中的 `my-repo` 存储库，请使用以下 ARN：

```
"Resource": "arn:aws:ecr:{{us-east-1}}:{{123456789012}}:repository/my-repo"
```

要指定属于特定账户的所有存储库，请使用通配符 (\*)：

```
"Resource": "arn:aws:ecr:{{us-east-1}}:{{123456789012}}:repository/*"
```

要在单个语句中指定多个资源，请使用逗号分隔 ARN。

```
"Resource": [
      "resource1",
      "resource2"
```

要查看 Amazon ECR 资源类型及其 ARN 的列表，请参阅 *IAM 用户指南*中的 [Amazon Elastic Container Registry 定义的资源](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-resources-for-iam-policies)。要了解您可以使用哪些操作指定每个资源的 ARN，请参阅 [Amazon Elastic Container Registry 定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 Amazon 全局条件键，请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

Amazon ECR 定义了自己的一组条件键，还支持使用一些全局条件键。要查看所有 Amazon 全局条件键，请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。



大多数 Amazon ECR 操作都支持 `aws:ResourceTag` 和 `ecr:ResourceTag` 条件键。有关更多信息，请参阅 [使用 Tag-Based 访问控制](ecr-supported-iam-actions-tagging.md)。

要查看 Amazon ECR 条件键的列表，请参阅 *IAM 用户指南*中的 [Amazon Elastic Container Registry 定义的条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-policy-keys)。要了解您可以对哪些操作和资源使用条件键，请参阅 [Amazon Elastic Container Registry 定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 Amazon ECR 基于身份的策略的示例，请参阅 [Amazon 弹性容器注册表 Identity-based 策略示例](security_iam_id-based-policy-examples.md)。

## Amazon ECR 基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Resource-based 策略是 JSON 策略文档，用于指定委托人可以在什么条件下对 Amazon ECR 资源执行哪些操作。Amazon ECR 支持亚马逊 ECR 存储库的基于资源的权限策略。 Resource-based 策略允许您按资源向其他账户授予使用权限。您也可以使用基于资源的策略以允许 Amazon 服务访问您的 Amazon ECR 存储库。

要启用跨账户访问，您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 Amazon 账户中时，您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是，如果基于资源的策略向同一个账户中的主体授予访问权限，则在基于身份的策略中不需要额外的 Amazon ECR 存储库权限。有关更多信息，[请参阅 IAM *用户指南中的 IAM* 角色与 Resource-based 策略的区别](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。

Amazon ECR 服务仅支持一种类型的基于资源的策略（称为*容器策略*），这种策略附加到*存储库*。这个策略定义哪些委托人实体（账户、用户、角色和联合身份用户）可以在存储库上执行操作。要了解如何将基于资源的策略附加到存储库，请参阅[Amazon ECR 中的私有存储库策略](repository-policies.md)。

**注意**  
在 Amazon ECR 存储库策略中，策略元素 `Sid` 支持 IAM policy 所不支持的其他字符和间距。

### 示例
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>



要查看 Amazon ECR 基于资源的策略的示例，请参阅 [Amazon ECR 中的私有存储库策略示例](repository-policy-examples.md)，

## 基于 Amazon ECR 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到 Amazon ECR 资源，或者在请求中将标签传递给 Amazon ECR。要基于标签控制访问，您需要使用 `ecr:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 Amazon ECR 资源的更多信息，请参阅 [在 Amazon ECR 中标记私有存储库](ecr-using-tags.md)。

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [使用 Tag-Based 访问控制](ecr-supported-iam-actions-tagging.md)。

## Amazon ECR IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是您的 Amazon 账户中具有特定权限的实体。

### 将临时凭证用于 Amazon ECR
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)或之类的 Amazon STS API 操作来获取临时安全证书[GetFederationToken](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)。

Amazon ECR 支持使用临时凭证。

### Service-linked 角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Service-linked 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 Amazon 服务访问其他服务中的资源以代表您完成操作。 Service-linked 角色出现在您的 IAM 账户中并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

Amazon ECR 支持服务相关角色。有关更多信息，请参阅 [对 Amazon ECR 使用服务相关角色](using-service-linked-roles.md)。