Ejemplos de políticas de registro privado para Amazon ECR - Amazon ECR
Ejemplo: permitir a todas las entidades principales de IAM de una cuenta de origen replicar todos los repositoriosEjemplo: permitir entidades principales de IAM de varias cuentasEjemplo: permitir a las entidades principales de IAM de una cuenta de origen replicar todos los repositorios con el prefijo prod-.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas de registro privado para Amazon ECR

En los siguientes ejemplos se muestran instrucciones de política de permisos de registro que puede utilizar para controlar los permisos que los usuarios tienen en el registro de Amazon ECR.

nota

En cada ejemplo, si se quita la acción ecr:CreateRepository de la política registro, la replicación aún puede producirse. No obstante, para que la replicación se realice correctamente, debe crear repositorios con el mismo nombre en su cuenta.

Ejemplo: permitir a todas las entidades principales de IAM de una cuenta de origen replicar todos los repositorios

La siguiente política de permisos de registro permite a todas las entidades principales de IAM (usuarios y roles) de una cuenta de origen replicar todos los repositorios.

Tenga en cuenta lo siguiente:

  • Importante: Al especificar un ID de Cuenta de AWS como entidad principal en una política, se concede acceso a todos los usuarios y roles de IAM de esa cuenta, no solo al usuario raíz. Este proceso establece un amplio acceso a toda la cuenta.

  • Consideraciones de seguridad: los permisos a nivel de cuenta otorgan acceso a todas las entidades de IAM de la cuenta especificada. Para obtener un acceso más restrictivo, especifique los usuarios de IAM, roles o utilice declaraciones de condición para limitar aún más el acceso.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:444455556666:repository/*"
            ]
        }
    ]
}

Ejemplo: permitir entidades principales de IAM de varias cuentas

La siguiente política de permisos de registro tiene dos instrucciones. Cada declaración permite a todas las entidades principales de IAM (usuarios y roles) de una cuenta de origen replicar todos los repositorios.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount1",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:123456789012:repository/*"
            ]
        },
        {
            "Sid":"ReplicationAccessCrossAccount2",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::444455556666:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:123456789012:repository/*"
            ]
        }
    ]
}

Ejemplo: permitir a las entidades principales de IAM de una cuenta de origen replicar todos los repositorios con el prefijo prod-.

La siguiente política de permisos de registro permite a todas las entidades principales de IAM (usuarios y roles) de una cuenta de origen replicar todos los repositorios que comiencen con prod-.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::111122223333:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
            ]
        }
    ]
}