Politiche di repository privati in Amazon ECR

Amazon ECR utilizza autorizzazioni basate sulle risorse per controllare l'accesso ai repository. Le autorizzazioni basate sulle risorse consentono di specificare quali utenti o ruoli hanno accesso a un repository e quali azioni possono eseguire sul repository. Per impostazione predefinita, solo l' AWS account che ha creato il repository ha accesso al repository. È possibile applicare una politica di repository che consenta un accesso aggiuntivo al repository.

Argomenti

Policy del repository e policy IAM

Le policy del repository Amazon ECR sono un sottoinsieme delle policy IAM che vengono definite e specificamente utilizzate per controllare l'accesso ai singoli repository Amazon ECR. Le policy IAM sono generalmente utilizzate per applicare le autorizzazioni per l'intero servizio Amazon ECR, ma possono anche essere utilizzate per controllare l'accesso alle risorse specifiche.

Le policy dei repository Amazon ECR e le policy IAM vengono entrambe utilizzate per determinare quali azioni possono essere eseguite da un utente o un ruolo specifico su un repository. Se a un utente o a un ruolo è consentito eseguire un'operazione tramite una policy del repository ma l'autorizzazione gli viene negata da una policy IAM (o viceversa), anche l'operazione viene negata. A un utente o a un ruolo deve essere concessa l'autorizzazione per un'operazione tramite una policy del repository o una policy IAM, ma non entrambe le opzioni per consentire l'operazione.

Importante

Amazon ECR richiede che gli utenti dispongano dell'autorizzazione per effettuare chiamate all'API ecr:GetAuthorizationToken tramite una policy IAM prima che possano autenticarsi in un registro ed eseguire l'invio o l'estrazione delle immagini da un repository Amazon ECR. Amazon ECR fornisce diverse policy IAM gestite per controllare l'accesso degli utenti a vari livelli. Per ulteriori informazioni, consulta Esempi di policy basate su Identità di Amazon Elastic Container Registry.

È possibile utilizzare questi tipi di policy per controllare l'accesso ai repository, come illustrato negli esempi seguenti.

Questo esempio illustra una policy del repository Amazon ECR che consente a un utente specifico di descrivere il repository e le immagini all'interno del repository.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECRRepositoryPolicy",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::account-id:user/username"},
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ]
        }
    ]
}

Questo esempio illustra una policy IAM che consente di raggiungere lo stesso obiettivo precedente, definendo l'ambito della policy per un repository (specificato dall'ARN completo del repository) utilizzando il parametro a livello di risorsa. Per maggiori informazioni sul formato Amazon Resource Name (ARN), consulta Risorse.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeRepoImage",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ],
            "Resource": ["arn:aws:ecr:region:account-id:repository/repository-name"]
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Eliminazione di un repository

Esempi di policy di repository