Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Amazon Elastic Container Registry bekerja dengan IAM
Sebelum menggunakan IAM untuk mengelola akses ke Amazon ECR, Anda harus memahami fitur IAM mana yang tersedia untuk digunakan dengan Amazon ECR. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon ECR dan AWS layanan lainnya bekerja dengan IAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis Identitas Amazon ECR
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. Amazon ECR support tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di Amazon ECR menggunakan prefiks berikut sebelum tindakan: ecr: Misalnya, untuk memberikan izin kepada seseorang untuk menggambarkan instans DB dengan operasi CreateRepository API Amazon ECR, Anda menyertakan tindakan ecr:CreateRepository dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon ECR menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "ecr:action1", "ecr:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "ecr:Describe*"
Untuk melihat daftar tindakan Amazon ECR, lihatTindakan, Sumber Daya, dan kunci syarat untuk Amazon Elastic Elastic di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak support izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
"Resource": "*"
Sumber daya repositori Amazon ECR memiliki ARN berikut:
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
Untuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.
Misalnya, untuk menentukan wilayah us-east-1 my-repo repositori dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
Untuk menentukan semua repositori milik akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
"Resource": [ "resource1", "resource2"
Untuk melihat daftar jenis sumber daya Amazon ECR dan jenisnya ARNs, lihat Sumber Daya yang Ditetapkan oleh Amazon Elastic Container Registry di Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon Elastic Container Registry.
Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tanda dalam Panduan Pengguna IAM.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Amazon ECR menentukan set kunci syaratnya sendiri dan juga support penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Semua tindakan Amazon ECR support kunci syarat aws:ResourceTag dan ecr:ResourceTag. Untuk informasi selengkapnya, lihat Menggunakan Kontrol Akses Berbasis Tanda.
Untuk melihat daftar kunci syarat Amazon ECR, lihat Kondisi Kunci yang Ditetapkan oleh Amazon Elastic Container Registry dalam Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya yang mana Anda diperbolehkan menggunakan kunci syarat, lihat Tindakan yang Ditentukan oleh Amazon Elastic Container Registry.
Contoh
Untuk melihat contoh kebijakan berbasis identitas Amazon ECR, lihat Contoh kebijakan berbasis identitas Amazon Elastic Container Registry.
Kebijakan berbasis sumber daya Amazon ECR
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon ECR dan dengan syarat apa. Amazon ECR support kebijakan izin berbasis sumber daya untuk repositori Amazon ECR. Kebijakan berbasis sumber daya mengizinkan Anda memberikan izin penggunaan ke akun lain berdasarkan penggunaan sumber daya. Anda juga dapat menggunakan kebijakan berbasis sumber daya untuk mengizinkan layanan AWS mengakses repositori Amazon ECR Anda.
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun yang berbeda, Anda juga harus memberikan izin entitas utama untuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke prinsipal di akun yang sama, Anda tidak memerlukan izin repositori Amazon ECR tambahan dalam kebijakan berbasis identitas. Untuk informasi selengkapnya, lihat Bagaimana IAM role Berbeda dengan Kebijakan Berbasis Sumber Daya dalam Panduan Pengguna IAM.
Layanan Amazon ECR hanya support satu jenis kebijakan berbasis sumber daya yang disebut kebijakan repositori, yang terlampir pada repositori. Kebijakan ini menentukan entitas prinsipal (akun, pengguna, peran, dan pengguna gabungan) yang dapat melakukan tindakan pada repositori. Untuk mempelajari cara melampirkan kebijakan berbasis sumber daya ke repositori, lihat Kebijakan repositori pribadi di Amazon ECR.
catatan
Dalam kebijakan repositori Amazon ECR, elemen kebijakan Sid mendukung karakter tambahan dan spasi yang tidak didukung dalam kebijakan IAM.
Contoh
Untuk melihat contoh kebijakan berbasis sumber daya Amazon ECR, lihat Contoh kebijakan repositori pribadi di Amazon ECR,
Otorisasi berdasarkan tag Amazon ECR
Anda dapat melampirkan tanda di sumber daya Amazon ECR atau tanda yang lolos dalam permintaan untuk Amazon ECR. Untuk mengontrol akses berdasarkan tandanya, Anda memberikan informasi tanda di elemen syarat kebijakan dengan menggunakan kunci syarat ecr:ResourceTag/, key-nameaws:RequestTag/, atau key-nameaws:TagKeys. Untuk informasi lebih lanjut tentang penandaan Amazon ECR sumber daya, lihat Menandai repositori pribadi di Amazon ECR.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat Menggunakan Kontrol Akses Berbasis Tanda.
Peran Amazon ECR IAM
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan kredensial sementara dengan Amazon ECR
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Amazon ECR support penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon ECR mendukung peran terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon ECR.
