Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Elastic Container Registry
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Informationen zu den Compliance-Programmen, die für Amazon ECR gelten, finden Sie unter [AWS Services im Geltungsbereich nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der geteilten Verantwortung bei der Verwendung von Amazon ECR anwenden können. Die folgenden Themen zeigen Ihnen, wie Sie Amazon ECR konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Amazon ECR-Ressourcen überwachen und sichern können.
**Topics**
+ [Identity and Access Management für Amazon Elastic Container Registry](security-iam.md)
+ [Datenschutz bei Amazon ECR](data-protection.md)
+ [Compliance-Validierung für Amazon Elastic Container Registry](ecr-compliance.md)
+ [Sicherheit der Infrastruktur in Amazon Elastic Container Registry](infrastructure-security.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
# Identity and Access Management für Amazon Elastic Container Registry
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* (mit Berechtigungen ausgestattet) werden kann, um Amazon ECR-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie Amazon Elastic Container Registry mit IAM funktioniert](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien](security_iam_id-based-policy-examples.md)
+ [Verwenden Tag-basierter Zugriffskontrolle](ecr-supported-iam-actions-tagging.md)
+ [AWS verwaltete Richtlinien für Amazon Elastic Container Registry](security-iam-awsmanpol.md)
+ [Verwendung von dienstgebundenen Rollen für Amazon ECR](using-service-linked-roles.md)
+ [Fehlerbehebung bei Amazon Elastic Container Registry - Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Elastic Container Registry - Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie Amazon Elastic Container Registry mit IAM funktioniert](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie Amazon Elastic Container Registry mit IAM funktioniert
Bevor Sie IAM verwenden, um den Zugriff auf Amazon ECR zu verwalten, sollten Sie verstehen, welche IAM-Features für die Verwendung mit Amazon ECR verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon ECR und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Identitätsbasierte Amazon-ECR-Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Amazon-ECR-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf Amazon ECR-Tags](#security_iam_service-with-iam-tags)
+ [Amazon ECR IAM-Rollen](#security_iam_service-with-iam-roles)
## Identitätsbasierte Amazon-ECR-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon ECR unterstützt bestimmte Aktionen, Ressourcen und Zustandsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Amazon ECR verwenden das folgende Präfix vor der Aktion: `ecr:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein Amazon ECR-Repository mit der Amazon ECR-`CreateRepository`API-Operation zu erstellen, nehmen Sie die `ecr:CreateRepository`-Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon ECR definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"ecr:action1",
"ecr:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "ecr:Describe*"
```
Eine Liste der Amazon-ECR-Aktionen finden Sie unter [Aktionen, Ressourcen und Zustandsschlüssel für Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html) im *IAM User Guide*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Amazon ECR-Repository-Ressource hat den folgenden ARN:
```
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise das `my-repo`-Repository in der `us-east-1`- Region in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
```
Um alle Repositorys anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
```
Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie durch Kommas. ARNs
```
"Resource": [
"resource1",
"resource2"
```
Eine Liste der Amazon ECR-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Elastic Container Registry definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Um zu erfahren, mit welchen Aktionen Sie den ARN einer jeden Ressource angeben können, siehe [Von Amazon Elastic Container Registry definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon ECR definiert seinen eigenen Satz von Konditionsschlüsseln und unterstützt auch die Verwendung einiger globaler Konditionsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Die meisten Amazon ECR-Aktionen unterstützen die`aws:ResourceTag`und `ecr:ResourceTag`Bedingungsschlüssel. Weitere Informationen finden Sie unter [Verwenden Tag-basierter Zugriffskontrolle](ecr-supported-iam-actions-tagging.md).
Eine Liste der Amazon-ECR-Bedingungsschlüssel finden Sie unter [Condition Keys Defined by Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-policy-keys) im *IAM-Benutzerhandbuch*. Um zu erfahren, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, siehe [Actions Defined by Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions).
### Beispiele
Beispiele für identitätsbasierte Amazon ECR-Richtlinien finden Sie unter[Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien](security_iam_id-based-policy-examples.md) .
## Ressourcenbasierte Amazon-ECR-Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Auftraggeber auf einer Amazon ECR-Ressource durchführen kann und unter welchen Bedingungen. Amazon ECR unterstützt ressourcenbasierte Berechtigungsrichtlinien für Amazon ECR-Repositories. Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, AWS um einem Dienst den Zugriff auf Ihre Amazon ECR-Repositories zu ermöglichen.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Principal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipalentität auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, benötigen Sie in der identitätsbasierten Richtlinie keine zusätzlichen Amazon ECR-Repository-Berechtigungen. Weitere Informationen finden Sie unter [Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.
Der Amazon ECR-Service unterstützt nur einen Typ von ressourcenbasierten Richtlinien, die sogenannte *Repository Policy*, die an ein *Repository* angehängt wird. Diese Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und verbundene Benutzer) Aktionen auf dem Container durchführen können. Weitere Informationen zum Anfügen einer ressourcenbasierten Richtlinie an ein Repository finden Sie unter [Richtlinien für private Repositorys in Amazon ECR](repository-policies.md).
**Anmerkung**
In einer Amazon ECR-Repository-Richtlinie unterstützt das Richtlinienelement `Sid` zusätzliche Zeichen und Entfernungen, die in IAM-Richtlinien nicht unterstützt werden.
### Beispiele
Beispiele für ressourcenbasierte Amazon ECR-Richtlinien finden Sie unter [Beispiele für Richtlinien für private Repositorien in Amazon ECR](repository-policy-examples.md),
## Autorisierung basierend auf Amazon ECR-Tags
Sie können Tags an Amazon ECR-Ressourcen anhängen oder Tags in einer Anfrage an Amazon ECR übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `ecr:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder `aws:TagKeys`Bedingung verwenden. Weitere Informationen zum Taggen von Amazon ECR-Ressourcen finden Sie unter [Kennzeichnen eines privaten Repositorys in Amazon ECR](ecr-using-tags.md).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Verwenden Tag-basierter Zugriffskontrolle](ecr-supported-iam-actions-tagging.md).
## Amazon ECR IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Verwendung temporärer Anmeldeinformationen mit Amazon ECR
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon ECR unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon ECR unterstützt Service-verknüpfte Rollen. Weitere Informationen finden Sie unter [Verwendung von dienstgebundenen Rollen für Amazon ECR](using-service-linked-roles.md).
# Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien
Standardmäßig verfügen Benutzer und Rollen nicht über die Berechtigung, Amazon-ECR-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon ECR definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/ecr.html) in der *Service Authorization Reference.*
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Bewährte Methoden für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwendung der Amazon ECR-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugriff auf ein Amazon ECR-Repository](#security_iam_id-based-policy-examples-access-one-bucket)
## Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand Amazon-ECR-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder daraus löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwendung der Amazon ECR-Konsole
Um auf die Konsole von Amazon Elastic Container Registry zugreifen zu können, müssen Sie über eine Mindestanzahl von Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon ECR-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten weiterhin die Amazon ECR-Konsole verwenden können, fügen Sie die `AmazonEC2ContainerRegistryReadOnly` AWS verwaltete Richtlinie zu den Entitäten hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) zu einem Benutzer im* IAM-Benutzerhandbuch*:
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonElasticContainerRegistryPublicReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticContainerRegistryPublicReadOnly.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugriff auf ein Amazon ECR-Repository
In diesem Beispiel möchten Sie einem Benutzer in Ihrem AWS Konto Zugriff auf eines Ihrer Amazon ECR-Repositorys gewähren. `my-repo` Sie möchten dem Benutzer auch erlauben, Images zu übertragen, abzurufen und aufzulisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"GetAuthorizationToken",
"Effect":"Allow",
"Action":[
"ecr:GetAuthorizationToken"
],
"Resource":"*"
},
{
"Sid":"ManageRepositoryContents",
"Effect":"Allow",
"Action":[
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:GetRepositoryPolicy",
"ecr:DescribeRepositories",
"ecr:ListImages",
"ecr:DescribeImages",
"ecr:BatchGetImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource":"arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
}
]
}
```
------
# Verwenden Tag-basierter Zugriffskontrolle
Mit der Amazon ECR `CreateRepository` API-Aktion können Sie Tags angeben, wenn Sie das Repository erstellen. Weitere Informationen finden Sie unter [Kennzeichnen eines privaten Repositorys in Amazon ECR](ecr-using-tags.md).
Damit Benutzer Repositorys bei der Erstellung markieren können, müssen sie über die Berechtigung zur Verwendung der Aktion verfügen, mit der die Ressource erstellt wird (z. B. `ecr:CreateRepository`). Wenn Tags in der Aktion angegeben werden, mit der die Ressource erstellt wird, führt Amazon eine zusätzliche Autorisierung für die `ecr:CreateRepository`-Aktion aus, um die Berechtigungen der Benutzer zum Erstellen von Tags zu überprüfen.
Sie können die Tag-basierte Zugriffskontrolle über IAM-Richtlinien verwenden. Im Folgenden sind einige Beispiele aufgeführt.
Die folgende Richtlinie würde einem Benutzer nur erlauben, ein Repository als `key=environment,value=dev` zu erstellen oder zu kennzeichnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedRepository",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
},
{
"Sid": "AllowTagRepository",
"Effect": "Allow",
"Action": [
"ecr:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
}
]
}
```
------
Die folgende Richtlinie würde es einem Benutzer ermöglichen, Bilder aus allen Repositorys abzurufen, sofern sie nicht als gekennzeichnet sind. `key=environment,value=prod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecr:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# AWS verwaltete Richtlinien für Amazon Elastic Container Registry
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Amazon ECR bietet mehrere verwaltete Richtlinien, die Sie an IAM-Identitäten oder Amazon EC2 EC2-Instances anhängen können. Diese verwalteten Richtlinien ermöglichen unterschiedliche Kontrollstufen für den Zugriff auf Amazon ECR-Ressourcen und API-Operationen. Weitere Informationen zu jedem in diesen Richtlinien erwähnten API-Vorgang finden Sie unter [Aktionen](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_Operations.html) in der *Amazon Elastic Container Registry API-Referenz*.
**Topics**
+ [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)
+ [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)
+ [Amazon EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)
+ [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)
+ [`AWSECRPullThroughCache_ServiceRolePolicy`](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)
+ [`ECRReplicationServiceRolePolicy`](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)
+ [`ECRTemplateServiceRolePolicy`](#security-iam-awsmanpol-ECRTemplateServiceRolePolicy)
+ [Amazon ECR-Updates für AWS verwaltete Richtlinien](#security-iam-awsmanpol-updates)
## Amazon EC2 ContainerRegistryFullAccess
Sie können die `AmazonEC2ContainerRegistryFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorzugriff auf Amazon ECR-Ressourcen und gewährt einer IAM-Identität (z. B. einem Benutzer, einer Gruppe oder Rolle) Zugriff auf die AWS Services, in die Amazon ECR integriert ist, um alle Amazon ECR-Funktionen nutzen zu können. Die Verwendung dieser Richtlinie ermöglicht den Zugriff auf alle Amazon ECR-Funktionen, die in der AWS-Managementkonsole verfügbar sind.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon EC2 ContainerRegistryFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryFullAccess.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## Amazon EC2 ContainerRegistryPowerUser
Sie können die `AmazonEC2ContainerRegistryPowerUser`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt administrative Berechtigungen, die es IAM-Benutzern erlauben, Repositorys zu lesen und zu schreiben, aber sie erlaubt ihnen nicht, Repositorys zu löschen oder die auf sie angewandten Richtliniendokumente zu ändern.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon EC2 ContainerRegistryPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPowerUser.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## Amazon EC2 ContainerRegistryPullOnly
Sie können die `AmazonEC2ContainerRegistryPullOnly`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie erteilt die Erlaubnis, Container-Images aus Amazon ECR abzurufen. Wenn die Registrierung für den Pull-Through-Cache aktiviert ist, ermöglicht sie auch Pulls, um ein Bild aus einer Upstream-Registrierung zu importieren.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## Amazon EC2 ContainerRegistryReadOnly
Sie können die `AmazonEC2ContainerRegistryReadOnly`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Amazon ECR nur Leseberechtigungen. Dazu gehört auch die Möglichkeit, Repositorys und Images innerhalb der Repositories aufzulisten. Es beinhaltet auch die Möglichkeit, Images von Amazon ECR mit der Docker CLI zu ziehen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon EC2 ContainerRegistryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryReadOnly.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## `AWSECRPullThroughCache_ServiceRolePolicy`
Sie können die verwaltete `AWSECRPullThroughCache_ServiceRolePolicy`-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist an eine dienstbezogene Rolle angehängt, die es Amazon ECR ermöglicht, Images durch den Pull-Through-Cache-Workflow an Ihre Repositorys zu übertragen. Weitere Informationen finden Sie unter [Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache](slr-pullthroughcache.md).
## `ECRReplicationServiceRolePolicy`
Sie können die verwaltete `ECRReplicationServiceRolePolicy`-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon ECR ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwendung von dienstgebundenen Rollen für Amazon ECR](using-service-linked-roles.md).
## `ECRTemplateServiceRolePolicy`
Sie können die verwaltete `ECRTemplateServiceRolePolicy`-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon ECR ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwendung von dienstgebundenen Rollen für Amazon ECR](using-service-linked-roles.md).
## Amazon ECR-Updates für AWS verwaltete Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon ECR seit Beginn der Nachverfolgung dieser Änderungen durch diesen Service. Um automatisch über Änderungen auf dieser Seite informiert zu werden, abonnieren Sie den RSS-Feed auf der Seite Amazon ECR Document history.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache](slr-pullthroughcache.md) – Aktualisierung auf eine bestehende Richtlinie | Amazon ECR hat der `AWSECRPullThroughCache_ServiceRolePolicy`-Richtlinie neue Berechtigungen hinzugefügt. Diese Berechtigungen ermöglichen es Amazon ECR, Bilder aus der privaten ECR-Registrierung abzurufen. Dies ist erforderlich, wenn Sie eine Pull-Through-Cache-Regel verwenden, um Bilder aus einer anderen privaten Amazon ECR-Registrierung zwischenzuspeichern. | 12. März 2025 |
| [Amazon EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) — Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt, die Amazon ECR nur Pull-Berechtigungen gewährt. | 10. Oktober 2024 |
| [ECRTemplateServiceRolePolicy](slr-rct.md) – Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie ist mit der `ECRTemplateServiceRolePolicy` serviceverknüpften Rolle für die Funktion „Vorlage zur Erstellung von Repositorys“ verknüpft. | 20. Juni 2024 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](slr-pullthroughcache.md) – Aktualisierung auf eine bestehende Richtlinie | Amazon ECR hat der `AWSECRPullThroughCache_ServiceRolePolicy`-Richtlinie neue Berechtigungen hinzugefügt. Diese Berechtigungen ermöglichen Amazon ECR, den verschlüsselten Inhalt eines Secrets-Manager-Secrets abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung erforderlich ist. | 15. November 2023 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy) – Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie wird mit der `AWSServiceRoleForECRPullThroughCache`-Serviceverknüpfte Rolle für das Pull-Through-Cache-Feature zugeordnet. | 29. November 2021 |
| [ECRReplicationServiceRolePolicy](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy) – Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie wird mit der `AWSServiceRoleForECRReplication`-Serviceverknüpfte Rolle für das Replikations-Feature zugeordnet. | 4. Dezember 2020 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR hat der `AmazonEC2ContainerRegistryFullAccess`-Richtlinie neue Berechtigungen hinzugefügt. Diese Berechtigungen erlauben es Prinzipalen, die serviceverknüpfte Amazon ECR-Rolle zu erstellen. | 4. Dezember 2020 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR fügte der Richtlinie neue Berechtigungen hinzu, `AmazonEC2ContainerRegistryReadOnly` die es den Auftraggebern ermöglichen, Lebenszyklusrichtlinien zu lesen, Tags aufzulisten und die Scanergebnisse für Images zu beschreiben. | 10. Dezember 2019 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR hat der `AmazonEC2ContainerRegistryPowerUser`-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Lebenszyklusrichtlinien zu lesen, Tags aufzulisten und die Scanergebnisse für Images zu beschreiben. | 10. Dezember 2019 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR hat der `AmazonEC2ContainerRegistryFullAccess`-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Schulleitern, nach Verwaltungsereignissen oder AWS CloudTrail Insights-Ereignissen zu suchen, die von CloudTrail erfasst wurden. | 10. November 2017 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR hat der `AmazonEC2ContainerRegistryReadOnly`-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Amazon-ECR-Images zu beschreiben. | 11. Oktober 2016 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — Aktualisierung einer bestehenden Richtlinie | Amazon ECR hat der `AmazonEC2ContainerRegistryPowerUser`-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Amazon-ECR-Images zu beschreiben. | 11. Oktober 2016 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt, die Amazon ECR nur Leseberechtigungen gewährt. Diese Berechtigungen umfassen die Möglichkeit, Repositories und Images innerhalb der Repositories aufzulisten. Sie umfassen auch die Möglichkeit, mit der Docker-CLI Images aus Amazon ECR zu ziehen. | 21. Dezember 2015 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt, die Benutzern Administratorrechte gewährt, die es Benutzern ermöglichen, in Repositorys zu lesen und in sie zu schreiben, es ihnen jedoch nicht erlaubt, Repositorys zu löschen oder die für sie geltenden Richtliniendokumente zu ändern. | 21. Dezember 2015 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — Neue Richtlinie | Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie gewährt vollen Zugang zu Amazon ECR. | 21. Dezember 2015 |
| Amazon ECR begann mit der Verfolgung von Änderungen | Amazon ECR hat damit begonnen, Änderungen für AWS verwaltete Richtlinien nachzuverfolgen. | 24. Juni 2021 |
# Verwendung von dienstgebundenen Rollen für Amazon ECR
Amazon Elastic Container Registry (Amazon ECR) verwendet AWS Identity and Access Management (IAM) [service-verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role), um die Berechtigungen bereitzustellen, die für die Nutzung der Replikations- und Pull-Through-Cache-Funktionen erforderlich sind. Eine servicegebundene Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon ECR verknüpft ist. Die serviceverknüpfte Rolle ist von Amazon ECR vordefiniert. Es enthält alle Berechtigungen, die der Service zur Unterstützung der Replikation und Pull-Through-Cache-Features für Ihre private Registrierung benötigt. Nachdem Sie die Replikation oder den Pull-Through-Cache für Ihre Registrierung konfiguriert haben, wird automatisch eine serviceverknüpfte Rolle in Ihrem Namen erstellt. Weitere Informationen finden Sie unter [Private Registrierungseinstellungen in Amazon ECR](registry-settings.md).
Eine servicegebundene Rolle erleichtert das Einrichten der Replikation und des Pull-Through-Cache mit Amazon ECR. Das liegt daran, dass Sie bei Verwendung dieser Rolle nicht alle erforderlichen Berechtigungen manuell hinzufügen müssen. Amazon ECR definiert die Berechtigungen seiner mit dem Service verbundenen Rollen, und sofern nicht anders definiert, kann nur Amazon ECR seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann mit keiner anderen IAM-Entität verknüpft werden.
Sie können die entsprechende serviceverknüpfte Rolle erst löschen, nachdem Sie entweder die Replikation oder den Pull-Through-Cache in Ihrer Registrierung deaktiviert haben.aben. Dies stellt sicher, dass Sie die Berechtigungen, die Amazon ECR für diese Features benötigt, nicht versehentlich entfernen.
Informationen über andere Dienste, die dienstgebundene Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM arbeiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie auf dieser verknüpften Seite nach den Diensten, die in der Spalte **Dienstverknüpfte Rolle** den Wert **Ja ** haben. Wählen Sie ein **Ja** mit einem Link, um die entsprechende dienstbezogene Rollendokumentation für diesen Dienst anzuzeigen.
**Topics**
+ [Unterstützte Regionen für Amazon ECR-Service-verknüpfte Rollen](#slr-regions)
+ [Serviceverknüpfte Amazon-ECR-Rolle für die Replikation](slr-replication.md)
+ [Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache](slr-pullthroughcache.md)
+ [Mit dem Amazon ECR Service verknüpfte Rolle für Vorlagen zur Repository-Erstellung](slr-rct.md)
## Unterstützte Regionen für Amazon ECR-Service-verknüpfte Rollen
Amazon ECR unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Amazon-ECR-Service verfügbar ist. Weitere Informationen zur Verfügbarkeit der Amazon-ECR-Region finden Sie unter [AWS -Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Serviceverknüpfte Amazon-ECR-Rolle für die Replikation
Amazon ECR verwendet eine serviceverknüpfte Rolle mit dem Namen **AWSServiceRoleForECRReplication**, die es Amazon ECR ermöglicht, Bilder über mehrere Konten hinweg zu replizieren.
## Service-gebundene Rollenberechtigungen für Amazon ECR
Die AWSService RoleFor ECRReplication serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `replication.ecr.amazonaws.com`
Die folgende `ECRReplicationServiceRolePolicy` Richtlinie für Rollenberechtigungen erlaubt Amazon ECR, die folgenden Aktionen auf Ressourcen anzuwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Es `ReplicateImage` handelt sich um eine interne API, die Amazon ECR für die Replikation verwendet und die nicht direkt aufgerufen werden kann.
Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Service-Linked Role Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im * IAM-Benutzerhandbuch*.
## Erstellen einer servicegebundenen Rolle für Amazon ECR
Sie müssen die serviceverknüpfte Amazon ECR-Rolle nicht manuell erstellen. Wenn Sie die Replikationseinstellungen für Ihre Registrierung in der AWS-Managementkonsole, der oder der AWS CLI AWS API konfigurieren, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie die Replikationseinstellungen für Ihre Registrierung konfigurieren, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie.
## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
Amazon ECR erlaubt keine manuelle Bearbeitung der AWSService RoleFor ECRReplication serviceverknüpften Rolle. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle für Amazon ECR
Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Replikationskonfiguration für Ihre Registrierung in jeder Region entfernen, bevor Sie die dienstverknüpfte Rolle manuell löschen können.
**Anmerkung**
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon ECR-Service die Rollen noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon ECR-Ressourcen zu löschen, die verwendet werden von AWSService RoleFor ECRReplication**
1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Wählen Sie in der Navigationsleiste die Region aus, für die Ihre Replikationskonfiguration festgelegt ist.
1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.
1. Wählen Sie auf der Seite **Private Registrierung** im Abschnitt **Replikationskonfiguration** die Option **Bearbeiten**.
1. Um alle Ihre Replikationsregeln zu löschen, wählen Sie **Alle löschen**. Dieser Schritt erfordert eine Bestätigung.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRReplication**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
# Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache
Amazon ECR verwendet eine serviceverknüpfte Rolle mit **AWSServiceRoleForECRPullThroughCache**dem Namen, die Amazon ECR die Erlaubnis erteilt, in Ihrem Namen Aktionen durchzuführen, um Cache-Aktionen abzuschließen. Weitere Informationen zum Pull-Through-Cache finden Sie unter [Vorlagen zur Steuerung von Repositorys, die während einer Pull-Through-Cache-, Push-Erstellung oder Replikationsaktion erstellt wurden](repository-creation-templates.md).
## Service-gebundene Rollenberechtigungen für Amazon ECR
Die **AWSServiceRoleForECRPullThroughCache**serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt.
+ `pullthroughcache.ecr.amazonaws.com`
**Details zu Berechtigungen**
Die Berechtigungsrichtlinie `AWSECRPullThroughCache_ServiceRolePolicy` ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie gewährt Amazon ECR die Erlaubnis, die folgenden Aktionen durchzuführen. Weitere Informationen finden Sie unter [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`— Ermöglicht dem Amazon ECR-Service, Bilder abzurufen und in ein privates Repository zu übertragen.
+ `secretsmanager:GetSecretValue`— Ermöglicht dem Amazon ECR-Service, den verschlüsselten Inhalt eines AWS Secrets Manager Geheimnisses abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung in Ihrer privaten Registry erforderlich ist. Diese Berechtigung gilt nur für Secrets mit dem Namenspräfix `ecr-pullthroughcache/`.
Die `AWSECRPullThroughCache_ServiceRolePolicy`-Richtlinie enthält das folgende JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage",
"ecr:BatchGetImage",
"ecr:BatchImportUpstreamImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetImageCopyStatus"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer servicegebundenen Rolle für Amazon ECR
Sie müssen die serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache nicht manuell erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung in der AWS-Managementkonsole AWS CLI, der oder der AWS API erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Pull-Through-Cache-Regel für Ihre private Registrierung erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie, falls sie noch nicht vorhanden ist.
## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
Amazon ECR erlaubt keine manuelle Bearbeitung der **AWSServiceRoleForECRPullThroughCache**serviceverknüpften Rolle. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle für Amazon ECR
Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Pull-Through-Cache-Regeln für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
**Anmerkung**
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon-ECR-Service die Rolle noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die durch die serviceverknüpfte Rolle **AWSServiceRoleForECRPullThroughCache** verwendeten Amazon-ECR-Ressourcen**
1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Wählen Sie auf der Navigationsleiste die Region aus, in der Ihre Pull-Through-Cache-Regeln erstellt werden.
1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.
1. Wählen Sie auf der Seite **Private Registry** im Abschnitt **Pull-Through-Cache-Konfiguration** die Option **Bearbeiten** aus.
1. Wählen Sie für jede von Ihnen erstellte Pull-Through-Cache-Regel die Regel aus und wählen Sie dann **Regel löschen**.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRPullThroughCache**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
# Mit dem Amazon ECR Service verknüpfte Rolle für Vorlagen zur Repository-Erstellung
Amazon ECR verwendet eine servicebezogene Rolle mit dem Namen **AWSServiceRoleForECRTemplate**, die Amazon ECR die Erlaubnis erteilt, in Ihrem Namen Aktionen durchzuführen, um Aktionen zur Erstellung von Repository-Vorlagen abzuschließen.
## Service-gebundene Rollenberechtigungen für Amazon ECR
Die **AWSServiceRoleForECRTemplate**serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle übernimmt.
+ `ecr.amazonaws.com`
**Details zu Berechtigungen**
Die Berechtigungsrichtlinie ``ECRTemplateServiceRolePolicy`` ist mit der dienstverknüpften Rolle verbunden. Diese verwaltete Richtlinie erteilt Amazon ECR die Erlaubnis, Repository-Erstellungsaktionen in Ihrem Namen durchzuführen.
Die `ECRTemplateServiceRolePolicy`-Richtlinie enthält das folgende JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateRepositoryWithTemplate",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*"
}
]
}
```
------
Sie müssen die Berechtigungen so konfigurieren, dass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer servicegebundenen Rolle für Amazon ECR
Sie müssen die mit dem Amazon ECR Service verknüpfte Rolle für die Repository-Erstellungsvorlage nicht manuell erstellen. Wenn Sie eine Vorlagenregel für die Repository-Erstellung für Ihre private Registrierung in der AWS-Managementkonsole AWS CLI, der oder der AWS API erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie eine Regel zur Erstellung eines Repositorys für Ihre private Registrierung erstellen, erstellt Amazon ECR die serviceverknüpfte Rolle erneut für Sie, sofern sie noch nicht vorhanden ist.
## Bearbeiten einer serviceverknüpften Rolle für Amazon ECR
Amazon ECR erlaubt keine manuelle Bearbeitung der **AWSServiceRoleForECRTemplate**serviceverknüpften Rolle. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen der serviceverknüpften Rolle für Amazon ECR
Wenn Sie ein Feature oder einen Dienst, für den eine dienstgebundene Rolle erforderlich ist, nicht mehr benötigen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Einheit, die nicht aktiv überwacht oder gepflegt wird. Sie müssen jedoch die Regeln für die Erstellung von Repositorys für Ihre Registrierung in jeder Region löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
**Anmerkung**
Wenn Sie versuchen, Ressourcen zu löschen, während der Amazon-ECR-Service die Rolle noch verwendet, kann Ihre Löschaktion fehlschlagen. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die durch die serviceverknüpfte Rolle **AWSServiceRoleForECRTemplate** verwendeten Amazon-ECR-Ressourcen**
1. Öffnen Sie die Amazon ECR-Konsole unter [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Wählen Sie in der Navigationsleiste die Region aus, in der Ihre Repository-Erstellungsregeln erstellt werden.
1. Wählen Sie im Navigationsbereich die Option **Private Registrierung**.
1. Wählen Sie auf der Seite **Private Registry** im Abschnitt **Vorlagen für die Repository-Erstellung** die Option **Bearbeiten** aus.
1. Wählen Sie für jede Regel zur Erstellung eines Repositorys, die Sie erstellt haben, die Regel aus und klicken Sie dann auf **Regel löschen**.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForECRTemplate**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
# Fehlerbehebung bei Amazon Elastic Container Registry - Identität und Zugriff
Die folgenden Informationen helfen Ihnen bei der Diagnose und Behebung häufiger Probleme, die bei der Arbeit mit Amazon ECR und IAM auftreten können.
**Topics**
+ [Ich bin nicht befugt, eine Aktion in Amazon ECR durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon ECR-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht befugt, eine Aktion in Amazon ECR durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `ecr:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ecr:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `ecr:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der Aktion „`iam:PassRole`“ autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Amazon ECR übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon ECR durchzuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon ECR-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Um zu erfahren, ob Amazon E CR diese Features unterstützt, siehe[Wie Amazon Elastic Container Registry mit IAM funktioniert](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Datenschutz bei Amazon ECR
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon Elastic Container Service. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon ECS oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Verschlüsselung im Ruhezustand](encryption-at-rest.md)
# Verschlüsselung im Ruhezustand
**Wichtig**
Die zweischichtige serverseitige Verschlüsselung mit AWS KMS (DSSE-KMS) ist nur in den AWS GovCloud (US) Regionen verfügbar.
Amazon ECR speichert Images in Amazon-S3-Buckets, die Amazon ECR verwaltet. Standardmäßig verwendet Amazon ECR eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln, die Ihre Daten im Ruhezustand mit einem AES-256-Verschlüsselungsalgorithmus verschlüsseln. Dies erfordert kein Handeln Ihrerseits und wird ohne zusätzliche Kosten angeboten. Weitere Informationen finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung mit Amazon S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) im *Benutzerhandbuch von Amazon Simple Storage Service*.
Für mehr Kontrolle über die Verschlüsselung Ihrer Amazon ECR-Repositorys können Sie die serverseitige Verschlüsselung mit KMS-Schlüsseln verwenden, die in AWS Key Management Service () gespeichert sind.AWS KMS Wenn Sie Ihre Daten verschlüsseln, können Sie entweder den Standard verwenden Von AWS verwalteter Schlüssel, der von Amazon ECR verwaltet wird, oder Ihren eigenen KMS-Schlüssel (als vom Kunden verwalteter Schlüssel bezeichnet) angeben. AWS KMS Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit in gespeicherten KMS-Schlüsseln AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Sie können wählen, ob Sie zwei Verschlüsselungsebenen auf Ihre Amazon ECR-Images anwenden möchten, indem Sie die zweischichtige serverseitige Verschlüsselung mit AWS KMS () verwenden. DSSE-KMS DSSE-KMSDie Option ist ähnlich wieSSE-KMS, wendet jedoch zwei einzelne Verschlüsselungsebenen anstelle einer Ebene an. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Dual-Layer-Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)).
Jedes Amazon ECR-Repository hat eine Verschlüsselungskonfiguration, die bei der Erstellung des Repositorys festgelegt wird. Sie können für jedes Repository unterschiedliche Verschlüsselungskonfigurationen verwenden. Weitere Informationen finden Sie unter [Erstellen eines privaten Amazon ECR-Repositorys zum Speichern von Bildern](repository-create.md).
Wenn ein Repository mit aktivierter AWS KMS Verschlüsselung erstellt wird, wird ein KMS-Schlüssel verwendet, um den Inhalt des Repositorys zu verschlüsseln. Darüber hinaus fügt Amazon ECR dem KMS-Schlüssel einen AWS KMS Zuschuss hinzu, wobei das Amazon ECR-Repository als Principal des Zuschussempfängers fungiert.
Im Folgenden erfahren Sie, wie Amazon ECR mit AWS KMS integriert ist, um Ihre Repositories zu verschlüsseln und zu entschlüsseln:
1. Beim Erstellen eines Repositorys sendet Amazon ECR einen [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Aufruf an, AWS KMS um den Amazon-Ressourcennamen (ARN) des in der Verschlüsselungskonfiguration angegebenen KMS-Schlüssels zu überprüfen und abzurufen.
1. Amazon ECR sendet zwei [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfragen AWS KMS zur Erstellung von Zuschüssen für den KMS-Schlüssel, damit Amazon ECR Daten mithilfe des Datenschlüssels ver- und entschlüsseln kann.
1. Beim Pushen eines Images wird eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Anfrage gestellt, die den KMS-Schlüssel AWS KMS angibt, der für die Verschlüsselung der Bildebene und des Manifests verwendet werden soll.
1. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem angegebenen KMS-Schlüssel und sendet den verschlüsselten Datenschlüssel, der zusammen mit den Metadaten der Bildebene und dem Imagemanifest gespeichert wird.
1. Beim Abrufen eines Bilds wird eine [Decrypt-Anfrage](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an gesendet AWS KMS, in der der verschlüsselte Datenschlüssel angegeben wird.
1. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon S3.
1. Der Datenschlüssel wird zur Entschlüsselung der Image-Ebene verwendet, bevor die Image-Ebene abgerufen wird.
1. Wenn ein Repository gelöscht wird, sendet Amazon ECR zwei [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Anfragen an, AWS KMS um die für das Repository erstellten Zuschüsse zurückzuziehen.
## Überlegungen
Die folgenden Punkte sollten bei der Verwendung von AWS KMS basierter Verschlüsselung (SSE-KMSoderDSSE-KMS) mit Amazon ECR berücksichtigt werden.
+ Wenn Sie Ihr Amazon ECR-Repository mit KMS-Verschlüsselung erstellen und keinen KMS-Schlüssel angeben, verwendet Amazon ECR standardmäßig einen Von AWS verwalteter Schlüssel mit dem Alias`aws/ecr`. Dieser KMS-Schlüssel wird in Ihrem Konto erstellt, wenn Sie zum ersten Mal ein Repository mit aktivierter KMS-Verschlüsselung erstellen.
+ Die Konfiguration der Repository-Verschlüsselung kann nach der Erstellung eines Repositorys nicht geändert werden.
+ Wenn Sie die KMS-Verschlüsselung mit Ihrem eigenen KMS-Schlüssel verwenden, muss sich dieser Schlüssel in derselben Region wie Ihr Repository befinden.
+ Die Bewilligungen, die Amazon ECR in Ihrem Namen erstellt, sollten nicht widerrufen werden. Wenn Sie die Genehmigung widerrufen, die Amazon ECR die Erlaubnis erteilt, die AWS KMS Schlüssel in Ihrem Konto zu verwenden, kann Amazon ECR nicht auf diese Daten zugreifen, keine neuen Bilder verschlüsseln, die in das Repository übertragen werden, oder sie entschlüsseln, wenn sie abgerufen werden. Wenn Sie eine Förderung für Amazon ECR widerrufen, tritt die Änderung sofort in Kraft. Um Zugriffsrechte zu widerrufen, sollten Sie das Repository löschen, anstatt die Gewährung zu widerrufen. Wenn ein Repository gelöscht wird, hebt Amazon ECR die Förderungen in Ihrem Namen auf.
+ Die Verwendung von Schlüsseln ist mit Kosten verbunden. AWS KMS Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).
+ Die Verwendung der serverseitigen Dual-Layer-Verschlüsselung ist mit Kosten verbunden. Weitere Informationen finden Sie unter [Amazon ECR](https://aws.amazon.com/ecr/pricing/) — Preise
## Erforderliche IAM-Berechtigungen
Wenn Sie ein Amazon ECR-Repository mit serverseitiger Verschlüsselung unter Verwendung von AWS KMS erstellen oder löschen, hängen die erforderlichen Berechtigungen von dem spezifischen KMS-Schlüssel ab, den Sie verwenden.
### Erforderliche IAM-Berechtigungen bei Verwendung von Von AWS verwalteter Schlüssel für Amazon ECR
Wenn die AWS KMS Verschlüsselung für ein Amazon ECR-Repository aktiviert, aber kein KMS-Schlüssel angegeben ist, wird standardmäßig der Von AWS verwalteter Schlüssel für Amazon ECR verwendet. Wenn der AWS-managed KMS-Schlüssel für Amazon ECR zum Verschlüsseln eines Repositorys verwendet wird, kann jeder Principal, der über die Berechtigung zum Erstellen eines Repositorys verfügt, auch die AWS KMS Verschlüsselung für das Repository aktivieren. Der IAM-Prinzipal, der das Repository löscht, muss jedoch die `kms:RetireGrant`-Berechtigung haben. Dadurch können die Grants, die dem AWS KMS Schlüssel bei der Erstellung des Repositorys hinzugefügt wurden, zurückgezogen werden.
Die folgende Beispiel-IAM-Richtlinie kann als Inline-Richtlinie zu einem Benutzer hinzugefügt werden, um sicherzustellen, dass er über die Mindestberechtigungen verfügt, die zum Löschen eines Repositorys mit aktivierter Verschlüsselung erforderlich sind. Der KMS-Schlüssel, der zur Verschlüsselung des Repositorys verwendet wird, kann über den Parameter resource angegeben werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToRetireTheGrantsAssociatedWithTheKey",
"Effect": "Allow",
"Action": [
"kms:RetireGrant"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### Erforderliche IAM-Berechtigungen bei Verwendung eines vom Kunden verwalteten Schlüssels
Beim Erstellen eines Repositorys mit aktivierter AWS KMS Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels sind für den Benutzer oder die Rolle, die das Repository erstellt, Berechtigungen sowohl für die KMS-Schlüsselrichtlinie als auch für die IAM-Richtlinie erforderlich.
Bei der Erstellung Ihres eigenen KMS-Schlüssels können Sie entweder die von AWS KMS erstellte Standard-Schlüsselrichtlinie verwenden oder Ihre eigene angeben. Um sicherzustellen, dass der vom Kunden verwaltete Schlüssel vom Kontoinhaber verwaltet werden kann, sollte die Schlüsselrichtlinie für den KMS-Schlüssel alle AWS KMS Aktionen für den Root-Benutzer des Kontos zulassen. Die Schlüsselrichtlinie kann um zusätzliche Berechtigungen erweitert werden, doch sollte zumindest der Root-Benutzer die Berechtigung erhalten, den KMS-Schlüssel zu verwalten. Damit der KMS-Schlüssel nur für Anfragen verwendet werden kann, die ihren Ursprung in Amazon ECR haben, können Sie den [ViaService Bedingungsschlüssel kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) mit dem `ecr..amazonaws.com` Wert verwenden.
Die folgende Beispielschlüsselrichtlinie gewährt dem AWS Konto (Root-Benutzer), dem der KMS-Schlüssel gehört, vollen Zugriff auf den KMS-Schlüssel. Weitere Informationen zu dieser Beispielschlüsselrichtlinie finden Sie unter [Erlaubt Zugriff auf das AWS Konto und aktiviert IAM-Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) im *AWS Key Management Service Entwicklerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
Der IAM-Benutzer, die IAM-Rolle oder das AWS Konto, das Ihre Repositorys erstellt `kms:CreateGrant``kms:RetireGrant`, muss zusätzlich zu den erforderlichen Amazon `kms:DescribeKey` ECR-Berechtigungen über die Berechtigungen, und verfügen.
**Anmerkung**
Die `kms:RetireGrant`-Berechtigung muss der IAM-Richtlinie des Benutzers oder der Rolle hinzugefügt werden, der/die das Repository erstellt. Die Berechtigungen `kms:CreateGrant` und `kms:DescribeKey` können entweder der Schlüsselrichtlinie für den KMS-Schlüssel oder der IAM-Richtlinie des Benutzers oder der Rolle, die das Repository erstellt, hinzugefügt werden. *Weitere Informationen zur Funktionsweise von AWS KMS Berechtigungen finden Sie unter [AWS KMS API-Berechtigungen: Referenz zu Aktionen und Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) im Entwicklerhandbuch.AWS Key Management Service *
Die folgende Beispiel-IAM-Richtlinie kann als Inline-Richtlinie zu einem Benutzer hinzugefügt werden, um sicherzustellen, dass er über die Mindestberechtigungen verfügt, die erforderlich sind, um ein Repository mit aktivierter Verschlüsselung zu erstellen und das Repository zu löschen, wenn er es nicht mehr benötigt. Der zur Verschlüsselung des Repositorys verwendete AWS KMS key -Schlüssel kann mit dem Ressourcen-Parameter angegeben werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToCreateAndRetireTheGrantsAssociatedWithTheKeyAsWellAsDescribeTheKey",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:RetireGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### Erlauben Sie einem Benutzer, KMS-Schlüssel in der Konsole aufzulisten, wenn er ein Repository erstellt
Wenn Sie die Amazon ECR-Konsole zum Erstellen eines Repositorys verwenden, können Sie einem Benutzer die Berechtigung erteilen, die vom Kunden verwalteten KMS-Schlüssel in der Region aufzulisten, wenn Sie die Verschlüsselung für das Repository aktivieren. Das folgende Beispiel für eine IAM-Richtlinie zeigt die Berechtigungen, die für die Auflistung Ihrer KMS-Schlüssel und -Aliase bei Verwendung der Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
}
}
```
------
## Überwachung der Amazon ECR-Interaktion mit AWS KMS
Sie können AWS CloudTrail damit die Anfragen verfolgen, an die Amazon ECR in AWS KMS Ihrem Namen sendet. Die Protokolleinträge im Protokoll enthalten einen Verschlüsselungskontextschlüssel, um sie leichter identifizierbar zu machen. CloudTrail
### Amazon ECR-Verschlüsselungskontext
Ein *Verschlüsselungskontext* ist ein Satz von Schlüssel-Wert-Paaren, der beliebige nicht geheime Daten enthält. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
In seinen Anfragen [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) verwendet Amazon ECR einen Verschlüsselungskontext mit zwei Name-Wert-Paaren, die das verwendete Repository und den verwendeten Amazon S3 S3-Bucket identifizieren. AWS KMS Dies wird im folgenden Beispiel veranschaulicht. Die Namen variieren nicht, aber die kombinierten Verschlüsselungskontextwerte sind für jeden Wert unterschiedlich.
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df",
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
}
```
Sie können den Verschlüsselungskontext verwenden, um diese kryptografischen Vorgänge in Prüfaufzeichnungen und Protokollen wie Amazon CloudWatch Logs zu identifizieren [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)und als Voraussetzung für die Autorisierung in Richtlinien und Zuschüssen zu verwenden.
Der Amazon ECR-Verschlüsselungskontext besteht aus zwei Name-Wert-Paaren.
+ **aws:s3:arn** - Das erste Name-Wert-Paar identifiziert den Bucket. Der Schlüssel lautet `aws:s3:arn`. Der Wert ist der Amazon Resource Name (ARN) des Amazon S3-Buckets.
```
"aws:s3:arn": "ARN of an Amazon S3 bucket"
```
Wenn die ARN des Buckets z. B. `arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df` ist, würde der Verschlüsselungskontext das folgende Paar enthalten.
```
"arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df"
```
+ **aws:ecr:arn** – Das zweite Name-Wert-Paar identifiziert den Amazon Resource Name (ARN) des Repositorys. Der Schlüssel lautet `aws:ecr:arn`. Der Wert ist der ARN des Repositorys.
```
"aws:ecr:arn": "ARN of an Amazon ECR repository"
```
Wenn der ARN des Repository beispielsweise `arn:aws:ecr:us-west-2:111122223333:repository/repository-name` lautet, würde der Verschlüsselungskontext das folgende Paar enthalten.
```
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
```
## Fehlerbehebung
Wenn Sie ein Amazon ECR-Repository mit der Konsole löschen und das Repository erfolgreich gelöscht wurde, Amazon ECR aber nicht in der Lage ist, die zu Ihrem KMS-Schlüssel für Ihr Repository hinzugefügten Grants zurückzuziehen, erhalten Sie die folgende Fehlermeldung.
```
The repository [{repository-name}] has been deleted successfully but the grants created by the kmsKey [{kms_key}] failed to be retired
```
In diesem Fall können Sie die AWS KMS Zuschüsse für das Repository selbst zurückziehen.
**Um AWS KMS Zuschüsse für ein Repository manuell zurückzuziehen**
1. Listet die Grants für den AWS KMS Schlüssel auf, der für das Repository verwendet wird. Der `key-id`-Wert ist in der Fehlermeldung enthalten, die Sie von der Konsole erhalten. Sie können den `list-keys` Befehl auch verwenden, um Von AWS verwaltete Schlüssel sowohl die als auch die vom Kunden verwalteten KMS-Schlüssel in einer bestimmten Region in Ihrem Konto aufzulisten.
```
aws kms list-grants \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc
--region us-west-2
```
Die Ausgabe enthält einen `EncryptionContextSubset` mit dem Amazon Resource Name (ARN) Ihres Repositorys. Auf diese Weise können Sie feststellen, welche der zum Schlüssel hinzugefügten Förderungen diejenige ist, die Sie aufheben möchten. Der `GrantId`-Wert wird verwendet, wenn die Förderung im nächsten Schritt aufgehoben wird.
1. Alle Grants für den AWS KMS Schlüssel, der dem Repository hinzugefügt wurde, zurückziehen. Ersetzen Sie den Wert für *GrantId* durch die ID des Grants aus der Ausgabe des vorherigen Schritts.
```
aws kms retire-grant \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc \
--grant-id GrantId \
--region us-west-2
```
# Compliance-Validierung für Amazon Elastic Container Registry
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Sicherheit der Infrastruktur in Amazon Elastic Container Registry
Als verwalteter Service ist Amazon Elastic Container Registry durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon ECR zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Sie können diese API-Vorgänge von jedem Netzwerkstandort aus aufrufen, aber Amazon ECR unterstützt ressourcenbasierte Zugriffsrichtlinien, die Einschränkungen auf der Grundlage der Quell-IP-Adresse enthalten können. Sie können auch Amazon ECR-Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte Amazon ECR-Ressource effektiv nur von der spezifischen VPC innerhalb des Netzwerks isoliert. AWS Weitere Informationen finden Sie unter [VPC-Endpunkte mit Amazon ECR-Schnittstelle ()AWS PrivateLink](vpc-endpoints.md).
# VPC-Endpunkte mit Amazon ECR-Schnittstelle ()AWS PrivateLink
Sie können die Sicherheit Ihrer VPC verbessern, indem Sie Amazon ECR so konfigurieren, dass es einen Schnittstellen-VPC-Endpunkt verwendet. VPC-Endgeräte werden von einer Technologie unterstützt AWS PrivateLink, die es Ihnen ermöglicht, privat APIs über private IP-Adressen (sowohl als auch IPv4 ) auf Amazon ECR zuzugreifen. IPv6 AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECR auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.
Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) im *Amazon* VPC-Benutzerhandbuch.
## Überlegungen für Amazon ECR VPC-Endpunkte
Bevor Sie VPC-Endpunkte für Amazon ECR konfigurieren, sollten Sie die folgenden Punkte beachten.
+ Damit Ihre auf Amazon EC2-Instances gehosteten Amazon ECS-Aufgaben private Images von Amazon ECR abrufen können, erstellen Sie die VPC-Endpunkte der Schnittstelle für Amazon ECS. Weitere Informationen finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) im *Amazon Elastic Container Service Developer Guide*.
+ Amazon ECS-Aufgaben, die auf Fargate gehostet werden und Container-Images von Amazon ECR beziehen, können den Zugriff auf die spezifische VPC, die ihre Aufgaben verwenden, und auf den VPC-Endpunkt, den der Dienst verwendet, beschränken, indem sie der IAM-Rolle für die Aufgabenausführung Bedingungsschlüssel hinzufügen. Weitere Informationen finden Sie unter [Optionale IAM-Berechtigungen für Fargate-Aufgaben, die Amazon ECR-Images über Schnittstellenendpunkte abrufen ](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) im Amazon *Elastic Container Service Entwicklerleitfaden*.
+ Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.
+ Amazon ECR VPC-Endpunkte unterstützen Dual-Stack- (IPv4 und) Konnektivität. IPv6 Wenn Sie einen Dual-Stack-VPC-Endpunkt erstellen, kann er den Datenverkehr IPv4 sowohl über private IP-Adressen als auch über IPv6 private IP-Adressen verarbeiten.
+ VPC-Endpunkte unterstützen öffentliche Amazon ECR-Repositorys über den AWS API-SDK-Endpunkt in USA Ost (Nord-Virginia).
+ VPC-Endpunkte unterstützen nur AWS bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) im *Amazon VPC-Benutzerhandbuch*.
+ Wenn Ihre Container über bestehende Verbindungen zu Amazon S3 verfügen, werden deren Verbindungen möglicherweise kurz unterbrochen, wenn Sie den Amazon S3-Gateway-Endpunkt hinzufügen. Wenn Sie diese Unterbrechung vermeiden möchten, erstellen Sie eine neue VPC, die den Amazon S3-Gateway-Endpunkt verwendet, und migrieren Sie dann Ihren Amazon ECS-Cluster und seine Container in die neue VPC.
+ Wenn ein Image zum ersten Mal mit einer Pull-Through-Cache-Regel abgerufen wird und Sie Amazon ECR für die Verwendung eines Schnittstellen-VPC-Endpunkts mit AWS PrivateLink konfiguriert haben, müssen Sie in derselben VPC ein öffentliches Subnetz mit einem NAT-Gateway erstellen und leiten Sie dann den gesamten ausgehenden Datenverkehr von ihrem privaten Subnetz ins Internet zum NAT-Gateway, damit der Abruf funktioniert. Nachfolgende Image-Abrufe erfordern dies nicht. Weitere Informationen finden Sie unter [Szenario: Zugriff auf das Internet aus einem privaten Subnetz](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#public-nat-internet-access) im *Benutzerhandbuch für Amazon Virtual Private Cloud*.
+ Für Workloads, die FIPS 140-3-validierte kryptografische Module erfordern, unterstützt Amazon ECR FIPS-Endpunkte für VPC-Endpunkte.
### Überlegungen für Windows-Images
Images, die auf dem Windows-Betriebssystem basieren, enthalten Artefakte, die aufgrund von Lizenzbeschränkungen nicht weitergegeben werden dürfen. Wenn Sie Windows-Images in ein Amazon ECR-Repository übertragen, werden die Ebenen, die diese Artefakte enthalten, standardmäßig nicht übertragen, da sie als *Fremdebenen* betrachtet werden. Wenn die Artefakte von Microsoft bereitgestellt werden, werden die fremden Schichten von der Microsoft Azure-Infrastruktur abgerufen. Aus diesem Grund sind neben der Erstellung der VPC-Endpunkte weitere Schritte erforderlich, damit Ihre Container diese fremden Schichten von Azure beziehen können.
Es ist möglich, dieses Verhalten beim Pushen von Windows-Images auf Amazon ECR durch Verwendung des `--allow-nondistributable-artifacts`-Flags im Docker-Daemon außer Kraft zu setzen. Wenn dieses Flag aktiviert ist, werden die lizenzierten Ebenen zu Amazon ECR gepusht, wodurch diese Images von Amazon ECR über den VPC-Endpunkt abgerufen werden können, ohne dass ein zusätzlicher Zugriff auf Azure erforderlich ist.
**Wichtig**
Die Verwendung des `--allow-nondistributable-artifacts`-Flags entbindet Sie nicht von der Verpflichtung, die Bedingungen der Windows-Container-Basis-Image-Lizenz einzuhalten; Sie können keine Windows-Inhalte für die öffentliche Weitergabe oder die Weitergabe durch Dritte bereitstellen. Die Verwendung in Ihrer eigenen Umgebung ist erlaubt.
Um die Verwendung dieses Flags für Ihre Docker-Installation zu aktivieren, müssen Sie die Docker-Daemon-Konfigurationsdatei ändern, die je nach Docker-Installation in der Regel in den Einstellungen oder im Menü "Präferenzen" unter dem Abschnitt **"Docker-Engine" **oder durch direkte Bearbeitung der `C:\ProgramData\docker\config\daemon.json`-Datei konfiguriert werden kann.
Im Folgenden finden Sie ein Beispiel für die erforderliche Konfiguration. Ersetzen Sie den Wert durch den Repository-URI, an den Sie die Images weitergeben möchten.
```
{
"allow-nondistributable-artifacts": [
"111122223333.dkr.ecr.us-west-2.amazonaws.com"
]
}
```
Nachdem Sie die Konfigurationsdatei des Docker-Daemon geändert haben, müssen Sie den Docker-Daemon neu starten, bevor Sie versuchen, Ihr Image zu übertragen. Bestätigen Sie, dass der Push funktioniert hat, indem Sie überprüfen, ob die Basisebene in Ihr Repository gepusht wurde.
**Anmerkung**
Die Basisebenen für Windows-Images sind groß. Die Größe der Ebene führt zu einer längeren Push-Zeit und zusätzlichen Speicherkosten in Amazon ECR für diese Images. Aus diesen Gründen empfehlen wir, diese Option nur dann zu nutzen, wenn sie unbedingt erforderlich ist, um die Bauzeit und die laufenden Lagerkosten zu reduzieren. Das `mcr.microsoft.com/windows/servercore`-Image ist beispielsweise etwa 1,7 GiB groß, wenn es in Amazon ECR komprimiert wird.
## Erstellen der VPC Endpunkte für Amazon ECR
Um die VPC-Endpunkte für den Amazon ECR-Service zu erstellen, verwenden Sie das Verfahren [Erstellung eines Interface-Endpunktes ](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)im *Amazon VPC Benutzerhandbuch*.
Amazon ECR VPC-Endpunkte unterstützen Dual-Stack- (IPv4 und) Konnektivität. IPv6 Wenn Sie einen Dual-Stack-VPC-Endpunkt erstellen, verarbeitet er automatisch den Datenverkehr IPv4 sowohl über private IP-Adressen als auch über IPv6 private IP-Adressen. Der Endpunkt leitet den Datenverkehr mit der entsprechenden IP-Version weiter, die auf der Netzwerkkonfiguration Ihres Clients und den Funktionen des Endpunkts basiert.
Wenn Sie bereits VPC-Endpoints haben und IPv4 zu Dual-Stack-Endpoints migrieren möchten, können Sie Ihre vorhandenen Endpoints so ändern, dass sie Dual-Stack-Konnektivität unterstützen, oder neue Dual-Stack-Endpoints erstellen. Stellen Sie beim Erstellen oder Ändern von Endpoints sicher, dass Ihre VPC und Subnetze die IP-Version unterstützen, die Sie verwenden möchten. Nach der Erstellung von Dual-Stack-Endpunkten unterstützen die Endpunkte sowohl als auch. IPv4 IPv6
Amazon ECS-Aufgaben, die auf Amazon EC2-Instanzen gehostet werden, erfordern sowohl Amazon ECR-Endpunkte als auch den Amazon S3-Gateway-Endpunkt.
Für Amazon ECS-Aufgaben, die auf Fargate mit der Plattformversion `1.4.0` oder höher gehostet werden, sind sowohl Amazon ECR VPC-Endpunkte als auch die Amazon S3-Gateway-Endpunkte erforderlich.
Auf Fargate gehostete Amazon ECS-Aufgaben, die die Plattformversion `1.3.0` oder eine frühere Version verwenden, benötigen nur die Datei **com.amazonaws. *region*.ecr.dkr Amazon ECR** VPC-Endpunkt und Amazon S3 S3-Gateway-Endpunkte.
**Anmerkung**
Die Reihenfolge, in der die Endpunkte erstellt werden, ist unerheblich.
**com.amazonaws. *region*.ecr.dkr**
Dieser Endpunkt wird für die Docker Registry verwendet. APIs Docker-Client-Befehle wie `push` und `pull` verwenden diesen Endpunkt.
Wenn Sie diesen Endpunkt erstellen, müssen Sie einen privaten DNS-Hostnamen aktivieren. Stellen Sie dazu sicher, dass die Option **Privaten DNS-Namen aktivieren** in der Amazon VPC-Konsole ausgewählt ist, wenn Sie den VPC-Endpunkt erstellen.
**Verwenden Sie für FIPS 140-3-konforme Verbindungen den FIPS-Endpunktnamen com.amazonaws. *region*.ecr-fips.dkr**
**com.amazonaws. *region*.ecr.api**
Der angegebene *region* Wert steht für die Regionskennung für eine AWS Region, die von Amazon ECR unterstützt wird, z. B. `us-east-2` für die Region USA Ost (Ohio).
**Verwenden Sie für FIPS 140-3-konforme Verbindungen die FIPS-Endpunktnamen: com.amazonaws. ***region***.ecr-fips.dkr und com.amazonaws. *region*.ecr-fips.api.**
Dieser Endpunkt wird für Aufrufe an die Amazon ECR-API verwendet. API-Aktionen wie `DescribeImages` und `CreateRepository` betreffen diesen Endpunkt.
Wenn dieser Endpunkt erstellt wird, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Aktivieren Sie diese Einstellung, indem Sie **Privaten DNS-Namen aktivieren** in der VPC-Konsole auswählen, wenn Sie den VPC-Endpunkt erstellen. Wenn Sie einen privaten DNS-Hostnamen für den VPC-Endpunkt aktivieren, aktualisieren Sie Ihr SDK oder AWS CLI auf die neueste Version, sodass die Angabe einer Endpunkt-URL bei der Verwendung des SDK oder AWS CLI nicht erforderlich ist.
**Verwenden Sie für FIPS 140-3-konforme Verbindungen den FIPS-Endpunktnamen com.amazonaws. *region*.ecr-fips.api.**
Wenn Sie einen privaten DNS-Hostnamen aktivieren und ein SDK oder eine AWS CLI Version verwenden, die vor dem 24. Januar 2019 veröffentlicht wurde, müssen Sie den Parameter verwenden, um die `--endpoint-url` Schnittstellenendpunkte anzugeben. Das folgende Beispiel zeigt das Format für die Endpunkt-URL.
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr.region.amazonaws.com
```
Wenn Sie keinen privaten DNS-Hostnamen für den VPC-Endpunkt aktivieren, müssen Sie den `--endpoint-url`-Parameter verwenden und die VPC-Endpunkt-ID für den Schnittstellenendpunkt angeben. Das folgende Beispiel zeigt das Format für die Endpunkt-URL.
```
aws ecr create-repository --repository-name name --endpoint-url https://VPC_endpoint_ID.api.ecr.region.vpce.amazonaws.com
```
Verwenden Sie für FIPS 140-3-konforme Verbindungen die FIPS-Endpunkt-URL:
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr-fips.region.amazonaws.com
```
## Erstellen Sie den Amazon S3-Gateway-Endpunkt
Damit Ihre Amazon ECS-Aufgaben private Images der von Amazon ECR abrufen können, müssen Sie einen Gateway-Endpunkt für Amazon S3 erstellen. Der Gateway-Endpunkt ist erforderlich, da Amazon ECR Amazon S3 zum Speichern Ihrer Image-Ebenen verwendet. Wenn Ihre Container-Images von Amazon ECR herunterladen, müssen sie auf Amazon ECR zugreifen, um das Image-Manifest zu erhalten, und dann auf Amazon S3, um die eigentlichen Image-Ebenen herunterzuladen. Nachfolgend ist der Amazon Resource Name (ARN) des Amazon S3-Buckets angegeben, der die Ebenen für jedes Docker-Image enthält.
```
arn:aws:s3:::prod-region-starport-layer-bucket/*
```
**Anmerkung**
Wenn Sie einen Dual-Stack-VPC-Endpunkt für Amazon ECR erstellen, müssen Sie auch einen Dual-Stack-Amazon S3-Gateway- oder Interface-Endpunkt erstellen. Einzelheiten finden Sie in der [S3-Dokumentation](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#privatelink-ip-address-types).
Verwenden Sie das Verfahren [Erstellen eines Gateway-Endpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#create-gateway-endpoint) im *Amazon VPC Benutzerhandbuch*, um den folgenden Amazon S3-Gateway-Endpunkt für Amazon ECR zu erstellen. Achten Sie bei der Erstellung des Endpunkts darauf, dass Sie die Route-Tabellen für Ihre VPC auswählen.
**com.amazonaws. *region***. 3
Der Amazon S3-Gateway-Endpunkt verwendet ein IAM-Richtliniendokument, um den Zugriff auf den Dienst zu beschränken. Die **Vollzugriffs**-Richtlinie kann verwendet werden, da alle Beschränkungen, die Sie in Ihren IAM-Aufgabenrollen oder anderen IAM-Benutzerrichtlinien festgelegt haben, weiterhin zusätzlich zu dieser Richtlinie gelten. Wenn Sie den Zugriff auf den Amazon S3-Bucket auf die für die Verwendung von Amazon ECR erforderlichen Mindestberechtigungen beschränken möchten, siehe .[Mindestberechtigungen für Amazon S3-Buckets für Amazon ECR](#ecr-minimum-s3-perms)
### Mindestberechtigungen für Amazon S3-Buckets für Amazon ECR
Der Amazon S3-Gateway-Endpunkt verwendet ein IAM-Richtliniendokument, um den Zugriff auf den Service zu beschränken. Um nur die minimalen Amazon S3-Bucket-Berechtigungen für Amazon ECR zuzulassen, beschränken Sie den Zugriff auf das Amazon S3-Bucket, das Amazon ECR verwendet, wenn Sie das IAM-Richtliniendokument für den Endpunkt erstellen.
In der folgenden Tabelle werden die von Amazon ECR benötigten Amazon S3-Bucket-Richtlinienberechtigungen beschrieben.
| Berechtigung | Description |
| --- | --- |
| `arn:aws:s3:::prod-region-starport-layer-bucket/*` | Ermöglicht den Zugriff auf den Amazon S3-Bucket, der die Schichten für jedes Docker-Image enthält. Stellt den Regionsbezeichner für eine von Amazon ECR unterstützte AWS Region dar, z. B. `us-east-2` für die Region US East (Ohio). |
#### Beispiel
Das folgende Beispiel veranschaulicht, wie der Zugriff auf die Amazon S3-Buckets, die für Amazon ECR-Vorgänge erforderlich sind, bereitgestellt wird.
```
{
"Statement": [
{
"Sid": "Access-to-specific-bucket-only",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
}
]
}
```
## Erstellen Sie den CloudWatch Logs-Endpunkt
**Amazon ECS-Aufgaben, die den Starttyp Fargate verwenden und eine VPC ohne Internet-Gateway verwenden, die auch den `awslogs` Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, erfordern, dass Sie die Datei com.amazonaws erstellen. *region*VPC-Endpunkt der Schnittstelle .logs** für CloudWatch Logs. Weitere Informationen finden Sie unter [Verwenden von CloudWatch Protokollen mit VPC-Endpunkten der Benutzeroberfläche](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) von Amazon Logs im *Amazon CloudWatch Logs-Benutzerhandbuch*.
## Erstellen Sie eine Endpunktrichtlinie für Ihre Amazon ECR VPC-Endpunkte
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie bei der Erstellung eines Endpunkts keine Richtlinie AWS anhängen, hängt eine Standardrichtlinie für Sie an, die vollen Zugriff auf den Service ermöglicht. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service. Endpunktrichtlinien müssen im JSON-Format erstellt werden. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
Wir empfehlen, eine einzige IAM-Ressourcenrichtlinie zu erstellen und sie an beide Amazon ECR VPC-Endpunkte anzuhängen.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon ECR. Diese Richtlinie ermöglicht es einer bestimmten IAM-Rolle, Images von Amazon ECR zu beziehen.
```
{
"Statement": [{
"Sid": "AllowPull",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
Das folgende Beispiel für eine Endpunktrichtlinie verhindert, dass ein bestimmtes Repository gelöscht wird.
```
{
"Statement": [{
"Sid": "AllowAll",
"Principal": "*",
"Action": "*",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Effect": "Deny",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
}
]
}
```
Das folgende Beispiel für eine Endpunktrichtlinie vereint die beiden vorherigen Beispiele in einer einzigen Richtlinie.
```
{
"Statement": [{
"Sid": "AllowAll",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Effect": "Deny",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
},
{
"Sid": "AllowPull",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
```
**So ändern Sie die VPC-Endpunktrichtlinie für Amazon ECR**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wenn Sie die VPC-Endpunkte für Amazon ECR noch nicht erstellt haben, siehe [Erstellen der VPC Endpunkte für Amazon ECR](#ecr-setting-up-vpc-create).
1. Wählen Sie den Amazon-ECR-VPC-Endpunkt aus, dem Sie eine **Richtlinie** hinzufügen möchten, und wählen Sie die Registerkarte Richtlinie in der unteren Hälfte des Bildschirms.
1. Wählen Sie **Richtlinie bearbeiten** und nehmen Sie die Änderungen an der Richtlinie vor.
1. Wählen Sie **Speichern**, um die Änderung zu speichern.
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In kann AWS ein dienstübergreifender Identitätswechsel zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) oder [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Richtlinien, um die Berechtigungen, die Amazon ECR einem anderen Service erteilt, auf eine bestimmte Ressource zu beschränken. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:region:123456789012:*`.
Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken.
Der `aws:SourceArn`-Wert muss ResourceDescription lauten.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in einer Amazon ECR-Repository-Richtlinie verwenden können, um den AWS CodeBuild Zugriff auf die Amazon ECR-API-Aktionen zu ermöglichen, die für die Integration mit diesem Service erforderlich sind, und gleichzeitig das Problem des verwirrten Stellvertreters zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CodeBuildAccess",
"Effect":"Allow",
"Principal":{
"Service":"codebuild.amazonaws.com"
},
"Action":[
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition":{
"ArnLike":{
"aws:SourceArn":"arn:aws:codebuild:us-east-1:123456789012:project/project-name"
},
"StringEquals":{
"aws:SourceAccount":"123456789012"
}
}
}
]
}
```
------