AWS politiche gestite per Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon Elastic Container Registry

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

Amazon ECR fornisce diverse policy gestite che puoi collegare alle identità IAM o alle istanze Amazon EC2 . Queste policy gestite consentono diversi livelli di controllo sull'accesso alle risorse Amazon ECR e alle operazioni API. Per ulteriori informazioni su ciascuna operazione API citata in queste policy, consulta Actions (Operazioni) nella documentazione di riferimento alle API Amazon Elastic Container Registry.

AmazonEC2ContainerRegistryFullAccess

È possibile allegare la policy AmazonEC2ContainerRegistryFullAccess alle identità IAM.

È possibile utilizzare questa policy gestita come punto di partenza per creare la propria policy IAM in base a requisiti specifici. Ad esempio, puoi creare una policy specifica per fornire un a utente o a un ruolo con l'accesso amministratore completo per gestire l'utilizzo di Amazon ECR. La caratteristica Policy del ciclo di vita Amazon ECR consente ai clienti di specificare la gestione del ciclo di vita di immagini in un repository. Gli eventi relativi alle politiche del ciclo di vita vengono segnalati come eventi. CloudTrail Amazon ECR è integrato AWS CloudTrail in modo da poter visualizzare gli eventi delle politiche del ciclo di vita direttamente nella console Amazon ECR. La policy IAM gestita AmazonEC2ContainerRegistryFullAccess include l'autorizzazione cloudtrail:LookupEvents per facilitare questo comportamento.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • ecr— Consente ai responsabili l'accesso completo a tutti gli Amazon APIs ECR.

  • cloudtrail— Consente ai responsabili di cercare gli eventi di gestione o gli eventi AWS CloudTrail Insights acquisiti da. CloudTrail

La policy AmazonEC2ContainerRegistryFullAccess è la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

È possibile allegare la policy AmazonEC2ContainerRegistryPowerUser alle identità IAM.

Questa policy concede le autorizzazioni amministrative che consentono agli utenti IAM di leggere e scrivere nei repository, ma non permette né di eliminare i repository né di modificare i documenti di policy ad essi applicati.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • ecr— Consente ai responsabili di leggere e scrivere nei repository, nonché di leggere le politiche del ciclo di vita. Alle entità principali non viene concessa l'autorizzazione per eliminare i repository o modificare le policy relative al ciclo di vita applicate ad essi.

La policy AmazonEC2ContainerRegistryPowerUser è la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

È possibile allegare la policy AmazonEC2ContainerRegistryPullOnly alle identità IAM.

Questa politica concede l'autorizzazione a estrarre immagini di container da Amazon ECR. Se il registro è abilitato per la cache pull-through, consentirà anche ai pull di importare un'immagine da un registro upstream.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • ecr: consente alle entità principali di leggere i repository e le rispettive policy relative al ciclo di vita.

La policy AmazonEC2ContainerRegistryPullOnly è la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

È possibile allegare la policy AmazonEC2ContainerRegistryReadOnly alle identità IAM.

Questa policy concede le autorizzazioni che consentono l'accesso in sola lettura ad Amazon ECR. Ciò include la possibilità di elencare repository e immagini all'interno dei repository. Include anche la possibilità di estrarre immagini da Amazon ECR con la CLI di Docker.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • ecr: consente alle entità principali di leggere i repository e le rispettive policy relative al ciclo di vita.

La policy AmazonEC2ContainerRegistryReadOnly è la seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Non è possibile attribuire la policy IAM gestita AWSECRPullThroughCache_ServiceRolePolicy alle entità IAM. Questa policy è collegata a un ruolo collegato al servizio che consente ad Amazon ECR di inviare immagini nei repository attraverso il flusso di lavoro della cache pull-through. Per ulteriori informazioni, consulta Ruolo collegato ai servizi Amazon ECR per la cache pull-through.

ECRReplicationServiceRolePolicy

Non è possibile attribuire la policy IAM gestita ECRReplicationServiceRolePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente ad Amazon ECR di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECR.

ECRTemplateServiceRolePolicy

Non è possibile attribuire la policy IAM gestita ECRTemplateServiceRolePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente ad Amazon ECR di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECR.

Aggiornamenti Amazon ECR alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECR dal momento in cui questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina di Cronologia dei documenti di Amazon ECR.

Modifica Descrizione Data

Ruolo collegato ai servizi Amazon ECR per la cache pull-through: aggiornamento a una policy esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AWSECRPullThroughCache_ServiceRolePolicy. Queste autorizzazioni consentono ad Amazon ECR di estrarre immagini dal registro privato ECR. Ciò è necessario quando si utilizza una regola pull through cache per memorizzare nella cache le immagini da un altro registro privato Amazon ECR.

12 marzo 2025

Amazon EC2 ContainerRegistryPullOnly — Nuova politica

Amazon ECR ha aggiunto una nuova policy che concede autorizzazioni pull-only ad Amazon ECR.

 10 ottobre 2024

ECRTemplateServiceRolePolicy: nuova policy

Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo collegato al ECRTemplateServiceRolePolicy servizio per la funzionalità di creazione di modelli di repository.

 20 giugno 2024

AWSECRPullThroughCache_ServiceRolePolicy: aggiornamento a una policy esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AWSECRPullThroughCache_ServiceRolePolicy. Queste autorizzazioni consentono ad Amazon ECR di recuperare i contenuti crittografati di un segreto di Secrets Manager. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione.

 15 novembre 2023

AWSECRPullThroughCache_ServiceRolePolicy: nuova policy

Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo AWSServiceRoleForECRPullThroughCache collegato al servizio per la funzione di cache pull-through.

 29 novembre 2021

ECRReplicationServiceRolePolicy: nuova policy

Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo AWSServiceRoleForECRReplication collegato al servizio per la funzione di replica.

 4 dicembre 2020

Amazon EC2 ContainerRegistryFullAccess: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryFullAccess. Queste autorizzazioni consentono alle entità principali di creare il ruolo collegato ai servizi Amazon ECR.

 4 dicembre 2020

Amazon EC2 ContainerRegistryReadOnly: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryReadOnly che consentono alle entità principali di leggere le policy del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini.

 10 dicembre 2019

Amazon EC2 ContainerRegistryPowerUser: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryPowerUser. Consentono alle entità principali di leggere le policy del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini.

 10 dicembre 2019

Amazon EC2 ContainerRegistryFullAccess: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryFullAccess. Consentono ai responsabili di cercare eventi di gestione o eventi AWS CloudTrail Insights acquisiti da CloudTrail.

 10 Novembre 2017

Amazon EC2 ContainerRegistryReadOnly: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryReadOnly. Consentono alle entità principali di descrivere le immagini Amazon ECR.

 11 ottobre 2016

Amazon EC2 ContainerRegistryPowerUser: aggiornamento a una politica esistente

Amazon ECR ha aggiunto nuove autorizzazioni alla policy AmazonEC2ContainerRegistryPowerUser. Consentono alle entità principali di descrivere le immagini Amazon ECR.

 11 ottobre 2016

Amazon EC2 ContainerRegistryReadOnly — Nuova politica

Amazon ECR ha aggiunto una nuova policy che concede autorizzazioni di sola lettura ad Amazon ECR. Queste autorizzazioni prevedono la possibilità di elencare repository e immagini all'interno dei repository. Prevedono anche la possibilità di estrarre immagini da Amazon ECR con la CLI di Docker.

 21 dicembre 2015

Amazon EC2 ContainerRegistryPowerUser — Nuova politica

Amazon ECR ha aggiunto una nuova politica che concede autorizzazioni amministrative che consentono agli utenti di leggere e scrivere negli archivi ma non consente loro di eliminare gli archivi o modificare i documenti relativi alle policy a loro applicati.

 21 dicembre 2015

Amazon EC2 ContainerRegistryFullAccess — Nuova politica

Amazon ECR ha aggiunto una nuova policy. Questa policy consente l'accesso completo ad Amazon ECR.

 21 dicembre 2015

Amazon ECR ha iniziato a monitorare le modifiche

Amazon ECR ha iniziato a tracciare le modifiche per le policy AWS gestite.

 24 giugno 2021