Beispiele für Richtlinien für private Registrierungen für Amazon ECR - Amazon ECR
Beispiel: Erlauben Sie allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys zu replizierenBeispiel: Erlauben Sie IAM-Prinzipale von mehreren KontenBeispiel: Erlaubt allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys mit Präfix zu replizieren. prod-

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Richtlinien für private Registrierungen für Amazon ECR

Die folgenden Beispiele zeigen Richtlinienanweisungen für Registrierungsberechtigungen, die Sie verwenden können, um die Berechtigungen zu kontrollieren, die Benutzer für Ihre Amazon ECR-Registrierung haben.

Anmerkung

In jedem Beispiel kann die Replikation trotzdem stattfinden, wenn die ecr:CreateRepository Aktion aus Ihrer Registrierungsrichtlinie entfernt wird. Für eine erfolgreiche Replikation müssen Sie jedoch Repositories mit demselben Namen innerhalb Ihres Kontos erstellen.

Beispiel: Erlauben Sie allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys zu replizieren

Die folgende Richtlinie für Registrierungsberechtigungen ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren.

Beachten Sie Folgendes:

  • Wichtig: Wenn Sie in einer Richtlinie eine AWS-Konto ID als Principal angeben, gewähren Sie allen IAM-Benutzern und -Rollen innerhalb dieses Kontos Zugriff, nicht nur dem Root-Benutzer. Dies ermöglicht einen umfassenden Zugriff auf das gesamte Konto.

  • Sicherheitsüberlegung: Berechtigungen auf Kontoebene gewähren Zugriff auf alle IAM-Entitäten im angegebenen Konto. Geben Sie für einen restriktiveren Zugriff einzelne IAM-Benutzer oder Rollen an oder verwenden Sie Bedingungsanweisungen, um den Zugriff weiter einzuschränken.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:444455556666:repository/*"
            ]
        }
    ]
}

Beispiel: Erlauben Sie IAM-Prinzipale von mehreren Konten

Die folgende Richtlinie für Registrierungsberechtigungen besteht aus zwei Aussagen. Jede Anweisung ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount1",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:123456789012:repository/*"
            ]
        },
        {
            "Sid":"ReplicationAccessCrossAccount2",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::444455556666:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:123456789012:repository/*"
            ]
        }
    ]
}

Beispiel: Erlaubt allen IAM-Prinzipalen in einem Quellkonto, alle Repositorys mit Präfix zu replizieren. prod-

Die folgende Richtlinie für Registrierungsberechtigungen ermöglicht es allen IAM-Prinzipalen (Benutzern und Rollen) in einem Quellkonto, alle Repositorys zu replizieren, die mit beginnen. prod-

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
            ]
        }
    ]
}