Exemples de politiques de registre privé pour Amazon ECR - Amazon ECR
Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentielsExemple : autoriser les utilisateurs root à accéder à plusieurs comptesExemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels avec un préfixe prod-.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques de registre privé pour Amazon ECR

Les exemples suivants illustrent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations octroyées aux utilisateurs sur votre registre Amazon ECR.

Note

Dans chaque exemple, si l'ecr:CreateRepositoryaction est supprimée de votre politique de registre, la réplication peut toujours avoir lieu. Toutefois, pour une réplication réussie, vous devez créer des référentiels portant le même nom dans votre compte.

Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels

La politique d'autorisation de registre suivante permet à l'utilisateur root d'un compte source de répliquer tous les référentiels.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Exemple : autoriser les utilisateurs root à accéder à plusieurs comptes

La politique d'autorisation de registre suivante comporte deux déclarations. Chaque instruction permet à l'utilisateur root d'un compte source de répliquer tous les référentiels.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount1",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_1_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        },
        {
            "Sid":"ReplicationAccessCrossAccount2",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_2_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels avec un préfixe prod-.

La politique d'autorisation de registre suivante permet à l'utilisateur root d'un compte source de répliquer tous les référentiels commençant par. prod-

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/prod-*"
            ]
        }
    ]
}