Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Elastic Container Registry
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon ECR, consulta [Servizi AWS coperti dal programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando si utilizza Amazon ECR. Gli argomenti seguenti descrivono come configurare Amazon ECR per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon ECR.
**Topics**
+ [Identity and Access Management per Amazon Elastic Container Registry](security-iam.md)
+ [Protezione dei dati in Amazon ECR](data-protection.md)
+ [Convalida della conformità per Amazon Elastic Container Registry](ecr-compliance.md)
+ [Sicurezza dell'infrastruttura in Amazon Elastic Container Registry](infrastructure-security.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
# Identity and Access Management per Amazon Elastic Container Registry
AWS Identity and Access Management (IAM) è un servizio Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi è *autenticato* (accesso effettuato) e *autorizzato* (dispone di autorizzazioni) a utilizzare risorse Amazon ECR. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Elastic Container Registry con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate su Identità di Amazon Elastic Container Registry](security_iam_id-based-policy-examples.md)
+ [Uso del controllo degli accessi basato su tag](ecr-supported-iam-actions-tagging.md)
+ [AWS politiche gestite per Amazon Elastic Container Registry](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon ECR](using-service-linked-roles.md)
+ [Risoluzione dei problemi di Identity and Access Management per Amazon Elastic Container Registry](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di Identity and Access Management per Amazon Elastic Container Registry](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Elastic Container Registry con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate su Identità di Amazon Elastic Container Registry](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Elastic Container Registry con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon ECR, è necessario comprendere quali funzioni IAM sono disponibili per l'uso con Amazon ECR. Per avere una visione di alto livello di come Amazon ECR e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Policy basate su Identità Amazon ECR](#security_iam_service-with-iam-id-based-policies)
+ [Policy basate sulle risorse Amazon ECR](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag Amazon ECR](#security_iam_service-with-iam-tags)
+ [Ruoli IAM Amazon ECR](#security_iam_service-with-iam-roles)
## Policy basate su Identità Amazon ECR
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon ECR supporta specifiche operazioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le operazioni delle policy in Amazon ECR utilizzano il seguente prefisso prima dell'operazione: `ecr:`. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un repository ECR mediante l'operazione API `CreateRepository` Amazon ECR, includi l'operazione `ecr:CreateRepository` nella policy. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon ECR definisce un proprio set di operazioni che descrivono le attività che puoi eseguire con quel servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"ecr:action1",
"ecr:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "ecr:Describe*"
```
Per visualizzare un elenco di operazioni Amazon ECR, consulta [Operazioni, risorse e chiavi di condizione per Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html) nella *Guida per l'utente di IAM*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La risorsa del repository Amazon ECR dispone del seguente ARN:
```
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare il repository `my-repo` nella regione `us-east-1` nell'istruzione, utilizza il seguente ARN:
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
```
Per specificare tutti i repository che appartengono a un account specifico, utilizza il carattere jolly (\$1):
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
```
Per specificare più risorse in una singola istruzione, separale con virgole. ARNs
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse Amazon ECR e relativi ARNs, consulta [Resources Defined by Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-resources-for-iam-policies) nella *IAM User Guide*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consultare [Operazioni definite da Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon ECR definisce il proprio set di chiavi di condizione e supporta anche l'uso di alcune chiavi di condizione globali. Per vedere tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
La maggior parte delle operazioni di Amazon ECR supporta le chiavi di condizione `aws:ResourceTag` e `ecr:ResourceTag`. Per ulteriori informazioni, consulta [Uso del controllo degli accessi basato su tag](ecr-supported-iam-actions-tagging.md).
Per visualizzare un elenco di chiavi di condizione Amazon ECR, consulta [Chiave di condizione definita da Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-policy-keys) nella *Guida per l'utente di IAM*. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consultare [Operazioni definite da Amazon Elastic Container Registry](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions).
### Esempi
Per visualizzare esempi di policy basate su identità Amazon ECR, consultare [Esempi di policy basate su Identità di Amazon Elastic Container Registry](security_iam_id-based-policy-examples.md).
## Policy basate sulle risorse Amazon ECR
Le policy basate su risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un'entità principale specificata su una risorsa Amazon ECR e in base a quali condizioni. Amazon ECR supporta policy di autorizzazione basate sulle risorse per i repository Amazon ECR. Le policy basate su risorse consentono di concedere l'autorizzazione all'utilizzo ad altri account per ogni risorsa. Puoi inoltre utilizzare una policy basata su risorse per consentire a un servizio AWS di accedere ai repository Amazon ECR.
Per consentire l'accesso a più account, è possibile specificare un intero account o entità IAM in un altro account come [entità principale in una policy basata su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa si trovano in AWS account diversi, è inoltre necessario concedere all'entità principale l'autorizzazione ad accedere alla risorsa. Concedi l'autorizzazione collegando una policy basata sull'identità all'entità. Tuttavia, se una policy basata sulle risorse concede l'accesso a una persona principale nello stesso account, non sono necessarie autorizzazioni aggiuntive per il repository Amazon ECR nella policy basata sull'identità. Per ulteriori informazioni, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente IAM*.
Il servizio Amazon ECR supporta solo un tipo di policy basata su risorse detta *policy di repository*, che è collegata a un *repository*. Questa policy definisce quali entità principali (account, utenti, ruoli e utenti federati) possono eseguire operazioni sul repository. Per informazioni su come collegare una policy basata su risorse a un repository, consulta [Politiche di repository privati in Amazon ECR](repository-policies.md).
**Nota**
In una politica di repository Amazon ECR, l'elemento della policy `Sid` supporta caratteri e spaziature aggiuntivi non supportati nelle policy IAM.
### Esempi
Per visualizzare esempi di policy basate su risorse Amazon ECR, consulta [Esempi di policy relative agli archivi privati in Amazon ECR](repository-policy-examples.md).
## Autorizzazione basata sui tag Amazon ECR
Puoi collegare i tag alle risorse Amazon ECR o inoltrarli in una richiesta ad Amazon ECR. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `ecr:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sul tagging delle risorse di Amazon ECR, consultare [Taggare un repository privato in Amazon ECR](ecr-using-tags.md).
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Uso del controllo degli accessi basato su tag](ecr-supported-iam-actions-tagging.md).
## Ruoli IAM Amazon ECR
Un [ruolo IAM è un'entità all'interno](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) del tuo account che dispone di autorizzazioni specifiche. AWS
### Utilizzo di credenziali temporanee con Amazon ECR
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Amazon ECR supporta l'uso di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Amazon ECR supporta i ruoli collegati ai servizi. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon ECR](using-service-linked-roles.md).
# Esempi di policy basate su Identità di Amazon Elastic Container Registry
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon ECR. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon ECR, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/ecr.html) nel *Service Authorization Reference*.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon ECR](#security_iam_id-based-policy-examples-console)
+ [Consenti agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accesso a un repository Amazon ECR](#security_iam_id-based-policy-examples-access-one-bucket)
## Best practice delle policy
Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon ECR nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon ECR
Per accedere alla console Amazon Elastic Container Registry, è necessario disporre di un set di autorizzazioni minimo. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon ECR nel tuo AWS account. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Per garantire che tali entità possano ancora utilizzare la console Amazon ECR, aggiungi la policy `AmazonEC2ContainerRegistryReadOnly` AWS gestita alle entità. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
Per vedere le autorizzazioni per questa policy, consulta [AmazonElasticContainerRegistryPublicReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticContainerRegistryPublicReadOnly.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Non è necessario consentire autorizzazioni minime di console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Consenti agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso a un repository Amazon ECR
In questo esempio, vuoi concedere a un utente del tuo AWS account l'accesso a uno dei tuoi repository Amazon ECR,. `my-repo` Si desidera anche consentire all'utente di inviare, estrarre ed elencare le immagini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"GetAuthorizationToken",
"Effect":"Allow",
"Action":[
"ecr:GetAuthorizationToken"
],
"Resource":"*"
},
{
"Sid":"ManageRepositoryContents",
"Effect":"Allow",
"Action":[
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:GetRepositoryPolicy",
"ecr:DescribeRepositories",
"ecr:ListImages",
"ecr:DescribeImages",
"ecr:BatchGetImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource":"arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
}
]
}
```
------
# Uso del controllo degli accessi basato su tag
L'azione dell'`CreateRepository`API Amazon ECR consente di specificare i tag quando si crea il repository. Per ulteriori informazioni, consulta [Taggare un repository privato in Amazon ECR](ecr-using-tags.md).
Per consentire agli utenti di applicare tag ai repository durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, ad esempio `ecr:CreateRepository`. Se i tag vengono specificati nell'azione di creazione delle risorse, Amazon esegue autorizzazioni aggiuntive per l'azione `ecr:CreateRepository` per verificare se gli utenti dispongono delle autorizzazioni per creare tag.
Puoi utilizzare il controllo degli accessi basato su tag tramite le policy IAM. Di seguito vengono mostrati gli esempi.
La policy seguente consente a un utente di creare o di applicare un tag a un repository come `key=environment,value=dev`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedRepository",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
},
{
"Sid": "AllowTagRepository",
"Effect": "Allow",
"Action": [
"ecr:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
}
]
}
```
------
La seguente politica consentirebbe a un utente di estrarre immagini da tutti i repository a meno che non siano contrassegnate come. `key=environment,value=prod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecr:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# AWS politiche gestite per Amazon Elastic Container Registry
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Amazon ECR fornisce diverse policy gestite che puoi collegare alle identità IAM o alle istanze Amazon EC2. Queste policy gestite consentono diversi livelli di controllo sull'accesso alle risorse di Amazon ECR e alle operazioni API. Per ulteriori informazioni su ciascuna operazione API citata in queste policy, consulta [Actions (Operazioni)](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_Operations.html) nella *documentazione di riferimento alle API Amazon Elastic Container Registry*.
**Topics**
+ [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)
+ [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)
+ [Amazon EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)
+ [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)
+ [`AWSECRPullThroughCache_ServiceRolePolicy`](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)
+ [`ECRReplicationServiceRolePolicy`](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)
+ [`ECRTemplateServiceRolePolicy`](#security-iam-awsmanpol-ECRTemplateServiceRolePolicy)
+ [Aggiornamenti di Amazon ECR alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## Amazon EC2 ContainerRegistryFullAccess
È possibile allegare la policy `AmazonEC2ContainerRegistryFullAccess` alle identità IAM. Questa policy concede l'accesso amministrativo alle risorse di Amazon ECR e concede a un'identità IAM (come un utente, un gruppo o un ruolo) l'accesso ai servizi con AWS cui è integrato Amazon ECR per utilizzare tutte le funzionalità di Amazon ECR. L'utilizzo di questa policy consente l'accesso a tutte le funzionalità di Amazon ECR disponibili in. Console di gestione AWS
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon EC2 ContainerRegistryFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryFullAccess.html) nel *AWS Managed Policy Reference.*
## Amazon EC2 ContainerRegistryPowerUser
È possibile allegare la policy `AmazonEC2ContainerRegistryPowerUser` alle identità IAM. Questa policy concede le autorizzazioni amministrative che consentono agli utenti IAM di leggere e scrivere nei repository, ma non permette né di eliminare i repository né di modificare i documenti di policy ad essi applicati.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon EC2 ContainerRegistryPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPowerUser.html) nel *AWS Managed Policy Reference.*
## Amazon EC2 ContainerRegistryPullOnly
È possibile allegare la policy `AmazonEC2ContainerRegistryPullOnly` alle identità IAM. Questa politica concede l'autorizzazione a estrarre immagini di container da Amazon ECR. Se il registro è abilitato per la cache pull-through, consentirà anche ai pull di importare un'immagine da un registro upstream.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html) nel *AWS Managed Policy Reference.*
## Amazon EC2 ContainerRegistryReadOnly
È possibile allegare la policy `AmazonEC2ContainerRegistryReadOnly` alle identità IAM. Questa policy concede le autorizzazioni che consentono l'accesso in sola lettura ad Amazon ECR. Ciò include la possibilità di elencare repository e immagini all'interno dei repository. Include anche la possibilità di estrarre immagini da Amazon ECR con la CLI di Docker.
Per visualizzare le autorizzazioni per questa politica, consulta [Amazon EC2 ContainerRegistryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryReadOnly.html) nel *AWS Managed Policy Reference.*
## `AWSECRPullThroughCache_ServiceRolePolicy`
Non è possibile attribuire la policy IAM gestita `AWSECRPullThroughCache_ServiceRolePolicy` alle entità IAM. Questa policy è collegata a un ruolo collegato al servizio che consente ad Amazon ECR di inviare immagini nei repository attraverso il flusso di lavoro della cache pull-through. Per ulteriori informazioni, consulta [Ruolo collegato ai servizi Amazon ECR per la cache pull-through](slr-pullthroughcache.md).
## `ECRReplicationServiceRolePolicy`
Non è possibile attribuire la policy IAM gestita `ECRReplicationServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente ad Amazon ECR di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon ECR](using-service-linked-roles.md).
## `ECRTemplateServiceRolePolicy`
Non è possibile attribuire la policy IAM gestita `ECRTemplateServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente ad Amazon ECR di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon ECR](using-service-linked-roles.md).
## Aggiornamenti di Amazon ECR alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECR dal momento in cui questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina di Cronologia dei documenti di Amazon ECR.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Ruolo collegato ai servizi Amazon ECR per la cache pull-through](slr-pullthroughcache.md): aggiornamento a una policy esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AWSECRPullThroughCache_ServiceRolePolicy`. Queste autorizzazioni consentono ad Amazon ECR di estrarre immagini dal registro privato ECR. Ciò è necessario quando si utilizza una regola pull through cache per memorizzare nella cache le immagini da un altro registro privato Amazon ECR. | 12 marzo 2025 |
| [Amazon EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) — Nuova politica | Amazon ECR ha aggiunto una nuova policy che concede autorizzazioni pull-only ad Amazon ECR. | 10 ottobre 2024 |
| [ECRTemplateServiceRolePolicy](slr-rct.md): nuova policy | Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo collegato al `ECRTemplateServiceRolePolicy` servizio per la funzionalità di creazione di modelli di repository. | 20 giugno 2024 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](slr-pullthroughcache.md): aggiornamento di una policy esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AWSECRPullThroughCache_ServiceRolePolicy`. Queste autorizzazioni consentono ad Amazon ECR di recuperare i contenuti crittografati di un segreto di Secrets Manager. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione. | 15 novembre 2023 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy): nuova policy | Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo `AWSServiceRoleForECRPullThroughCache` collegato al servizio per la funzione di cache pull-through. | 29 novembre 2021 |
| [ECRReplicationServiceRolePolicy](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy): nuova policy | Amazon ECR ha aggiunto una nuova policy. Questa policy è associata al ruolo `AWSServiceRoleForECRReplication` collegato al servizio per la funzione di replica. | 4 dicembre 2020 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryFullAccess`. Queste autorizzazioni consentono alle entità principali di creare il ruolo collegato ai servizi Amazon ECR. | 4 dicembre 2020 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryReadOnly` che consentono alle entità principali di leggere le policy del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini. | 10 dicembre 2019 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryPowerUser`. Consentono alle entità principali di leggere le policy del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini. | 10 dicembre 2019 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryFullAccess`. Consentono ai responsabili di cercare eventi di gestione o eventi AWS CloudTrail Insights acquisiti da CloudTrail. | 10 Novembre 2017 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryReadOnly`. Consentono alle entità principali di descrivere le immagini Amazon ECR. | 11 ottobre 2016 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser): aggiornamento a una politica esistente | Amazon ECR ha aggiunto nuove autorizzazioni alla policy `AmazonEC2ContainerRegistryPowerUser`. Consentono alle entità principali di descrivere le immagini Amazon ECR. | 11 ottobre 2016 |
| [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — Nuova politica | Amazon ECR ha aggiunto una nuova policy che concede autorizzazioni di sola lettura ad Amazon ECR. Queste autorizzazioni prevedono la possibilità di elencare repository e immagini all'interno dei repository. Prevedono anche la possibilità di estrarre immagini da Amazon ECR con la CLI di Docker. | 21 dicembre 2015 |
| [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — Nuova politica | Amazon ECR ha aggiunto una nuova politica che concede autorizzazioni amministrative che consentono agli utenti di leggere e scrivere negli archivi ma non consente loro di eliminare gli archivi o modificare i documenti relativi alle policy a loro applicati. | 21 dicembre 2015 |
| [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — Nuova politica | Amazon ECR ha aggiunto una nuova policy. Questa policy consente l'accesso completo ad Amazon ECR. | 21 dicembre 2015 |
| Amazon ECR ha iniziato a monitorare le modifiche | Amazon ECR ha iniziato a tracciare le modifiche per le policy AWS gestite. | 24 giugno 2021 |
# Utilizzo di ruoli collegati ai servizi per Amazon ECR
Amazon Elastic Container Registry (Amazon ECR) AWS Identity and Access Management utilizza ruoli [collegati ai servizi (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) per fornire le autorizzazioni necessarie per utilizzare le funzionalità di replica e pull through cache. Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente ad Amazon ECR. Il ruolo collegato ai servizi è predefinito da Amazon ECR. Include tutte le autorizzazioni richieste dal servizio per supportare le funzionalità di replica e cache pull-through per il registro privato. Dopo avere configurato la replica o la cache pull-through per il registro, viene creato automaticamente un ruolo collegato al servizio per conto dell'utente. Per ulteriori informazioni, consulta [Impostazioni del registro privato in Amazon ECR](registry-settings.md).
Un ruolo collegato ai servizi semplifica la configurazione della replica e della cace pull-trough con Amazon ECR. Ciò avviene perché, utilizzandolo, non sarà più necessario aggiungere manualmente tutte le autorizzazioni necessarie. Amazon ECR definisce le autorizzazioni del ruolo associato ai servizi e, salvo diversamente definito, solo Amazon ECR può assumere il ruolo. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Le policy di autorizzazioni non possono essere collegate a nessun'altra entità IAM.
Puoi eliminare il ruolo collegato ai servizi corrispondente solo dopo avere disabilitato la replica o la cache pull-trough nel registro. Ciò garantisce che l'utente non rimuova inavvertitamente le autorizzazioni richieste da Amazon ECR per queste funzionalità.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). In questa pagina collegata, cerca i servizi che hanno **Yes (Sì)** nella colonna **Service-Linked Role (Ruolo collegato ai servizi)**. Scegli un link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
**Topics**
+ [Regioni supportate per i ruoli collegati ai servizi di Amazon ECR](#slr-regions)
+ [Ruolo collegato ai servizi Amazon ECR per la replica](slr-replication.md)
+ [Ruolo collegato ai servizi Amazon ECR per la cache pull-through](slr-pullthroughcache.md)
+ [Ruolo collegato al servizio Amazon ECR per i modelli di creazione di repository](slr-rct.md)
## Regioni supportate per i ruoli collegati ai servizi di Amazon ECR
Amazon ECR supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio Amazon ECR è disponibile. Per ulteriori informazioni sulla disponibilità delle regioni di Amazon ECR, consulta [Regioni ed endpoint AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Ruolo collegato ai servizi Amazon ECR per la replica
Amazon ECR utilizza un ruolo collegato al servizio denominato che **AWSServiceRoleForECRReplication**consente ad Amazon ECR di replicare le immagini su più account.
## Autorizzazioni del ruolo collegato ai servizi per Amazon ECR
Il ruolo AWSService RoleFor ECRReplication collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `replication.ecr.amazonaws.com`
La seguente policy delle autorizzazioni del ruolo `ECRReplicationServiceRolePolicy` consente ad Amazon ECR di eseguire le operazioni seguenti su tutte le risorse:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "*"
}
]
}
```
------
**Nota**
La `ReplicateImage` è un'API interna utilizzata da Amazon ECR per la replica e non può essere chiamata direttamente.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon ECR
Non devi creare manualmente il ruolo collegato al servizio Amazon ECR. Quando configuri le impostazioni di replica per il tuo registro nell'API Console di gestione AWS AWS CLI, nell'o nell' AWS API, Amazon ECR crea il ruolo collegato al servizio per te.
Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando si configurano le impostazioni di replica per il registro, Amazon ECR crea il ruolo collegato ai servizi per l'utente.
## Modifica di un ruolo collegato ai servizi per Amazon ECR
Amazon ECR non consente la modifica manuale del ruolo collegato al AWSService RoleFor ECRReplication servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Amazon ECR
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, prima di poter eliminare manualmente il ruolo collegato ai servizi, è necessario rimuovere la configurazione della replica per il registro in ogni regione.
**Nota**
Se provi a eliminare risorse mentre il servizio Amazon ECR utilizza ancora i ruoli, l'operazione di eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.
**Per eliminare le risorse Amazon ECR utilizzate da AWSService RoleFor ECRReplication**
1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dalla barra di navigazione, scegli la regione in cui configurare le impostazioni di replica.
1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**.
1. Nella pagina **Private registry** (Registro privato), nella sezione **Replication configuration** (Configurazione di replica) scegli **Edit** (Modifica).
1. Per eliminare tutte le regole di replica, scegli **Delete all** (Elimina tutto). Questo passaggio richiede una conferma.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForECRReplication**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
# Ruolo collegato ai servizi Amazon ECR per la cache pull-through
Amazon ECR utilizza un ruolo collegato al servizio denominato **AWSServiceRoleForECRPullThroughCache**che autorizza Amazon ECR a eseguire azioni per tuo conto per completare le azioni pull through cache. Per ulteriori informazioni sulla cache pull-through, consulta [Modelli per controllare i repository creati durante un pull through cache, la creazione in modalità push o un'azione di replica](repository-creation-templates.md).
## Autorizzazioni del ruolo collegato ai servizi per Amazon ECR
Il ruolo **AWSServiceRoleForECRPullThroughCache**collegato al servizio prevede che il seguente servizio assuma il ruolo.
+ `pullthroughcache.ecr.amazonaws.com`
**Dettagli delle autorizzazioni**
La policy delle autorizzazioni `AWSECRPullThroughCache_ServiceRolePolicy` è attribuita al ruolo collegato ai servizi. Questa policy gestita concede ad Amazon ECR l'autorizzazione all'esecuzione delle operazioni seguenti. Per ulteriori informazioni, consulta [`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy).
+ `ecr`— Consente al servizio Amazon ECR di estrarre e inviare immagini a un archivio privato.
+ `secretsmanager:GetSecretValue`— Consente al servizio Amazon ECR di recuperare i contenuti crittografati di un Gestione dei segreti AWS segreto. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione nel tuo registro privato. Questa autorizzazione è valida solo per i segreti con il prefisso di nome `ecr-pullthroughcache/`.
La policy `AWSECRPullThroughCache_ServiceRolePolicy` contiene il JSON seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage",
"ecr:BatchGetImage",
"ecr:BatchImportUpstreamImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetImageCopyStatus"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon ECR
Non devi creare manualmente il ruolo collegato al servizio Amazon ECR per la cache pull-trough. Quando crei una regola pull through cache per il tuo registro privato nell'API Console di gestione AWS, nell' AWS CLI o nell' AWS API, Amazon ECR crea il ruolo collegato al servizio per te.
Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei una regola di cache pull-through per il tuo registro privato, Amazon ECR crea il ruolo collegato ai servizi per te se non esiste già.
## Modifica di un ruolo collegato ai servizi per Amazon ECR
Amazon ECR non consente la modifica manuale del ruolo collegato al **AWSServiceRoleForECRPullThroughCache**servizio. Dopo aver creato un ruolo collegato ai servizi, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Amazon ECR
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, prima di poter eliminare manualmente il ruolo collegato ai servizi, è necessario eliminare le regole della cache pull-through per il registro in ogni regione.
**Nota**
Se provi a eliminare risorse mentre il servizio Amazon ECR utilizza ancora il ruolo, l'operazione di eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.
**Per eliminare le risorse Amazon ECR utilizzate dal ruolo collegato ai servizi **AWSServiceRoleForECRPullThroughCache****
1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Nella barra di navigazione, seleziona la regione in cui vengono create le regole della cache pull-through.
1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**.
1. Nella pagina **Private registry** (Registro privato), nella sezione **Pull through cache configuration** (Configurazione di cache pull through) scegli **Edit** (Modifica).
1. Per ogni regola di cache pull through che hai creato, seleziona la regola e quindi scegli **Delete rule** (Elimina regola).
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForECRPullThroughCache**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
# Ruolo collegato al servizio Amazon ECR per i modelli di creazione di repository
Amazon ECR utilizza un ruolo collegato al servizio denominato **AWSServiceRoleForECRTemplate**che autorizza Amazon ECR a eseguire azioni per tuo conto per completare le azioni dei modelli di creazione di repository.
## Autorizzazioni del ruolo collegato ai servizi per Amazon ECR
Il ruolo **AWSServiceRoleForECRTemplate**collegato al servizio si affida al seguente servizio per l'assunzione del ruolo.
+ `ecr.amazonaws.com`
**Dettagli delle autorizzazioni**
La policy delle autorizzazioni ``ECRTemplateServiceRolePolicy`` è attribuita al ruolo collegato ai servizi. Questa policy gestita concede ad Amazon ECR l'autorizzazione a eseguire azioni di creazione di repository per tuo conto.
La policy `ECRTemplateServiceRolePolicy` contiene il JSON seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateRepositoryWithTemplate",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*"
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon ECR
Non è necessario creare manualmente il ruolo collegato al servizio Amazon ECR per il modello di creazione del repository. Quando crei una regola del modello di creazione di un repository per il tuo registro privato nell'API Console di gestione AWS AWS CLI, nell'o nell' AWS API, Amazon ECR crea il ruolo collegato al servizio per te.
Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei una regola per la creazione di un repository per il tuo registro privato, Amazon ECR crea nuovamente il ruolo collegato al servizio se non esiste già.
## Modifica di un ruolo collegato ai servizi per Amazon ECR
Amazon ECR non consente la modifica manuale del ruolo collegato al **AWSServiceRoleForECRTemplate**servizio. Dopo aver creato un ruolo collegato ai servizi, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Amazon ECR
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, devi eliminare le regole di creazione del repository per il registro in ogni regione prima di poter eliminare manualmente il ruolo collegato al servizio.
**Nota**
Se provi a eliminare risorse mentre il servizio Amazon ECR utilizza ancora il ruolo, l'operazione di eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.
**Per eliminare le risorse Amazon ECR utilizzate dal ruolo collegato ai servizi **AWSServiceRoleForECRTemplate****
1. Apri la console Amazon ECR all'indirizzo [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dalla barra di navigazione, scegli la regione in cui vengono create le regole di creazione del repository.
1. Nel pannello di navigazione, seleziona **Private registry (Registro privato)**.
1. **Nella pagina del **registro privato**, nella sezione **Modelli di creazione del repository**, scegli Modifica.**
1. Per ogni regola di creazione del repository che hai creato, seleziona la regola e quindi scegli **Elimina** regola.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al **AWSServiceRoleForECRTemplate**servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
# Risoluzione dei problemi di Identity and Access Management per Amazon Elastic Container Registry
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Amazon ECR e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'operazione in Amazon ECR](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon ECR](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'operazione in Amazon ECR
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `ecr:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ecr:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `ecr:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, dovrai aggiornare le policy in modo da poter passare un ruolo ad Amazon ECR.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in Amazon ECR. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon ECR
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon ECR supporta queste caratteristiche, consultare [Come funziona Amazon Elastic Container Registry con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in Account AWS un altro Account AWS di tua proprietà nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Protezione dei dati in Amazon ECR
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Elastic Container Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon ECS o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
**Topics**
+ [Crittografia dei dati a riposo](encryption-at-rest.md)
# Crittografia dei dati a riposo
**Importante**
La crittografia lato server a doppio livello con AWS KMS (DSSE-KMS) è disponibile solo nelle regioni. AWS GovCloud (US)
Amazon ECR memorizza le immagini nei bucket Amazon S3 gestiti da Amazon ECR. Per impostazione predefinita, Amazon ECR utilizza la crittografia lato server con chiavi di crittografia gestite da Amazon S3 che crittografano i dati a riposo utilizzando un algoritmo di crittografia AES-256. Ciò non richiede alcuna operazione da parte tua e viene offerto senza costi aggiuntivi. Per ulteriori informazioni, consulta [Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
Per un maggiore controllo sulla crittografia per i tuoi repository Amazon ECR, puoi utilizzare la crittografia lato server con chiavi KMS archiviate in (). AWS Key Management Service AWS KMS Quando si utilizza AWS KMS per crittografare i dati, è possibile utilizzare l'impostazione predefinita Chiave gestita da AWS, gestita da Amazon ECR, o specificare la propria chiave KMS (denominata chiave gestita dal cliente). Per ulteriori informazioni, consulta [Protezione dei dati utilizzando la crittografia lato server con chiavi KMS archiviate in AWS KMS (SSE-KMS) nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) *Storage Service*.
Puoi scegliere di applicare due livelli di crittografia alle tue immagini Amazon ECR utilizzando la crittografia lato server a doppio livello con (). AWS KMS DSSE-KMS DSSE-KMSl'opzione è simile aSSE-KMS, ma applica due singoli livelli di crittografia anziché un livello. Per ulteriori informazioni, vedere [Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)).
Ogni repository Amazon ECR dispone di una configurazione di crittografia che viene impostata al momento della creazione del repository. È possibile utilizzare configurazioni di crittografia diverse su ciascun repository. Per ulteriori informazioni, consulta [Creazione di un repository privato Amazon ECR per archiviare immagini](repository-create.md).
Quando viene creato un repository con la AWS KMS crittografia abilitata, viene utilizzata una chiave KMS per crittografare il contenuto del repository. Inoltre, Amazon ECR aggiunge una AWS KMS sovvenzione alla chiave KMS con l'archivio Amazon ECR come beneficiario principale.
Di seguito vengono fornite informazioni di alto livello su come Amazon ECR è integrato con AWS KMS per crittografare e decrittografare i repository:
1. Durante la creazione di un repository, Amazon ECR invia una [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)chiamata a per AWS KMS convalidare e recuperare l'Amazon Resource Name (ARN) della chiave KMS specificata nella configurazione di crittografia.
1. Amazon ECR invia due [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richieste per AWS KMS creare sovvenzioni sulla chiave KMS per consentire ad Amazon ECR di crittografare e decrittografare i dati utilizzando la chiave dati.
1. Quando si invia un'immagine, viene effettuata una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richiesta AWS KMS che specifica la chiave KMS da utilizzare per crittografare il livello di immagine e il manifesto.
1. AWS KMS genera una nuova chiave dati, la cripta con la chiave KMS specificata e invia la chiave di dati crittografata da archiviare con i metadati del livello di immagine e il manifesto dell'immagine.
1. Quando si estrae un'immagine, viene effettuata una richiesta [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS, specificando la chiave di dati crittografata.
1. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon S3.
1. La chiave dati viene utilizzata per decrittografare il livello immagine prima che il livello immagine venga estratto.
1. Quando un repository viene eliminato, Amazon ECR invia due [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)richieste per AWS KMS ritirare le sovvenzioni create per il repository.
## Considerazioni
I seguenti punti devono essere considerati quando si utilizza la crittografia AWS KMS basata (SSE-KMSoDSSE-KMS) con Amazon ECR.
+ Se crei il tuo repository Amazon ECR con crittografia KMS e non specifichi una chiave KMS, Amazon ECR utilizza un alias Chiave gestita da AWS con l'alias per impostazione predefinita. `aws/ecr` Questa chiave KMS viene creata nel tuo account la prima volta che crei un repository con la crittografia KMS abilitata.
+ La configurazione della crittografia del repository non può essere modificata dopo la creazione di un repository.
+ Quando si utilizza la crittografia KMS con la propria chiave KMS, la chiave deve esistere nella stessa regione del repository.
+ Le autorizzazioni che Amazon ECR crea per tuo conto non devono essere revocate. Se revochi la concessione che autorizza Amazon ECR a utilizzare AWS KMS le chiavi del tuo account, Amazon ECR non può accedere a questi dati, crittografare le nuove immagini inserite nel repository o decrittografarle quando vengono estratte. Quando revochi una concessione per Amazon ECR, la modifica avviene immediatamente. Per revocare i diritti di accesso, eliminare il repository piuttosto che revocare la concessione. Quando un repository viene eliminato, Amazon ECR ritira le concessioni per tuo conto.
+ L'utilizzo delle chiavi comporta AWS KMS un costo. Per ulteriori informazioni, consultare [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ L'utilizzo della crittografia lato server a due livelli comporta un costo. Per ulteriori informazioni, consulta i prezzi di [Amazon ECR](https://aws.amazon.com/ecr/pricing/)
## Autorizzazioni IAM richieste
Quando crei o elimini un repository Amazon ECR con crittografia lato server utilizzando AWS KMS, le autorizzazioni richieste dipendono dalla chiave KMS specifica in uso.
### Autorizzazioni IAM richieste Chiave gestita da AWS per l'utilizzo di Amazon ECR
Per impostazione predefinita, quando AWS KMS la crittografia è abilitata per un repository Amazon ECR ma non viene specificata alcuna chiave KMS, viene utilizzata la per Chiave gestita da AWS Amazon ECR. Quando la chiave KMS AWS gestita per Amazon ECR viene utilizzata per crittografare un repository, qualsiasi principale autorizzato a creare un repository può anche abilitare la crittografia sul repository. AWS KMS Tuttavia, l'entità principale IAM che elimina il repository deve disporre dell'autorizzazione `kms:RetireGrant`. Ciò consente il ritiro delle sovvenzioni che sono state aggiunte alla chiave al momento della creazione del repository. AWS KMS
La seguente policy IAM di esempio può essere aggiunta come policy inline a un utente per assicurarsi che questi disponga delle autorizzazioni minime necessarie per eliminare un repository per cui è attivata la crittografia. La chiave KMS utilizzata per crittografare il repository può essere specificata utilizzando il parametro della risorsa.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToRetireTheGrantsAssociatedWithTheKey",
"Effect": "Allow",
"Action": [
"kms:RetireGrant"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### Autorizzazioni IAM richieste quando si utilizza una chiave gestita dal cliente
Quando si crea un repository con AWS KMS crittografia abilitata utilizzando una chiave gestita dal cliente, sono necessarie le autorizzazioni sia per la politica delle chiavi KMS che per la politica IAM per l'utente o il ruolo che crea il repository.
Quando crei la tua chiave KMS, puoi utilizzare la chiave predefinita creata dalla policy AWS KMS o puoi specificare un'icona personalizzata. Per garantire che la chiave gestita dal cliente rimanga gestibile dal proprietario dell'account, la politica chiave per la chiave KMS dovrebbe consentire tutte le AWS KMS azioni all'utente root dell'account. Puoi aggiungere ulteriori autorizzazioni con ambito alle policy chiave, ma almeno all'utente root devono essere concesse autorizzazioni per gestire la chiave KMS. Per consentire l'utilizzo della chiave KMS solo per le richieste che provengono da Amazon ECR, puoi utilizzare la [chiave kms: ViaService condition](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) con il valore. `ecr..amazonaws.com`
L'esempio seguente di policy chiave fornisce all' AWS account (utente root) che possiede la chiave KMS l'accesso completo alla chiave KMS. Per ulteriori informazioni su questa policy chiave di esempio, consulta [Consente l'accesso all' AWS account e abilita le politiche IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) nella *AWS Key Management Service Developer* Guide.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
L'utente IAM, il ruolo IAM o l' AWS account che crea i tuoi repository deve disporre dell'`kms:DescribeKey`autorizzazione e `kms:CreateGrant``kms:RetireGrant`, oltre alle autorizzazioni Amazon ECR necessarie.
**Nota**
L'autorizzazione `kms:RetireGrant` deve essere aggiunta alla policy IAM dell'utente o del ruolo che crea il repository. Le autorizzazioni `kms:CreateGrant` e `kms:DescribeKey` possono essere aggiunte alla policy delle chiave per la chiave KMS o alla policy IAM dell'utente o del ruolo che creano il repository. *Per ulteriori informazioni su come funzionano le AWS KMS autorizzazioni, consulta Autorizzazioni [AWS KMS API: riferimento alle azioni e alle risorse](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) nella Guida per gli sviluppatori.AWS Key Management Service *
La seguente policy IAM di esempio può essere aggiunta come policy inline a un utente per assicurarsi che questi disponga delle autorizzazioni minime necessarie per creare un repository per cui è attivata la crittografia ed eliminare il repository al termine. La AWS KMS key utilizzata per crittografare il repository può essere specificata utilizzando il parametro delle risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToCreateAndRetireTheGrantsAssociatedWithTheKeyAsWellAsDescribeTheKey",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:RetireGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### Consenti a un utente di elencare le chiavi KMS nella console durante la creazione di un repository
Quando si utilizza la console Amazon ECR per creare un repository, è possibile concedere le autorizzazioni per consentire a un utente di elencare le chiavi KMS gestite dal cliente nella regione quando si abilita la crittografia per il repository. L'esempio di policy IAM seguente illustra le autorizzazioni necessarie per elencare le chiavi e gli alias KMS quando si utilizza la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
}
}
```
------
## Monitoraggio dell'interazione di Amazon ECR con AWS KMS
Puoi utilizzarlo AWS CloudTrail per tenere traccia delle richieste a cui Amazon ECR invia per tuo AWS KMS conto. Le voci di registro contenute nel CloudTrail registro contengono una chiave di contesto di crittografia per renderle più facilmente identificabili.
### Contesto di crittografia di Amazon ECR
Un *contesto di crittografia* è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.
Nelle sue richieste [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a, AWS KMS Amazon ECR utilizza un contesto di crittografia con due coppie nome-valore che identificano il repository e il bucket Amazon S3 utilizzati. Questo viene mostrato nell’esempio seguente. I nomi non variano, ma i valori del contesto di crittografia combinati saranno diversi per ogni valore.
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df",
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
}
```
Puoi utilizzare il contesto di crittografia per identificare queste operazioni crittografiche nei record e nei log di controllo, come [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Amazon CloudWatch Logs, e come condizione per l'autorizzazione nelle politiche e nelle concessioni.
Il contesto di crittografia di Amazon ECR è costituito da due coppie nome-valore.
+ **aws:s3:arn** – La prima coppia nome-valore identifica il bucket. La chiave è `aws:s3:arn`. L'Amazon Resource Name (ARN) del bucket Amazon S3 è il valore.
```
"aws:s3:arn": "ARN of an Amazon S3 bucket"
```
Ad esempio, se l'ARN del bucket è `arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df`, il contesto di crittografia include la seguente coppia.
```
"arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df"
```
+ **aws:ecr:arn** – La seconda coppia nome-valore identifica l'Amazon Resource Name (ARN) del repository. La chiave è `aws:ecr:arn`. Il valore rappresenta l'ARN del repository.
```
"aws:ecr:arn": "ARN of an Amazon ECR repository"
```
Ad esempio, se l'ARN del repository è `arn:aws:ecr:us-west-2:111122223333:repository/repository-name`, il contesto di crittografia include la seguente coppia.
```
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
```
## Risoluzione dei problemi
Quando si elimina un repository Amazon ECR con la console, se il repository viene eliminato correttamente ma Amazon ECR non è in grado di ritirare le concessioni aggiunte alla chiave KMS per il repository, viene visualizzato il seguente errore.
```
The repository [{repository-name}] has been deleted successfully but the grants created by the kmsKey [{kms_key}] failed to be retired
```
Quando ciò si verifica, puoi ritirare tu stesso le AWS KMS sovvenzioni per il repository.
**Ritirare manualmente le AWS KMS sovvenzioni per un deposito**
1. Elenca le concessioni per la AWS KMS chiave utilizzata per il repository. Il valore `key-id` viene incluso nell'errore visualizzato dalla console. Puoi anche utilizzare il `list-keys` comando per elencare sia le chiavi KMS gestite dal Chiavi gestite da AWS cliente che quelle gestite dal cliente in una regione specifica del tuo account.
```
aws kms list-grants \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc
--region us-west-2
```
L'output include un `EncryptionContextSubset` con l'Amazon Resource Name (ARN) del repository. Questo può essere utilizzato per determinare quale concessione aggiunta alla chiave sia quella che si desidera ritirare. Il valore `GrantId` viene utilizzato quando si ritira la concessione nella fase successiva.
1. Ritira ogni concessione per la AWS KMS chiave aggiunta al repository. Sostituisci il valore per *GrantId* con l'ID della sovvenzione dall'output del passaggio precedente.
```
aws kms retire-grant \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc \
--grant-id GrantId \
--region us-west-2
```
# Convalida della conformità per Amazon Elastic Container Registry
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Sicurezza dell'infrastruttura in Amazon Elastic Container Registry
In quanto servizio gestito, Amazon Elastic Container Registry è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon ECR attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Puoi richiamare queste operazioni API da qualsiasi posizione di rete, ma Amazon ECR non supporta le policy di accesso basate sulle risorse che possono includere limitazioni sull'indirizzo IP di origine. Puoi anche utilizzare le policy di Amazon ECR per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) specifici o specifici. VPCs In effetti, questo isola l'accesso alla rete a una determinata risorsa Amazon ECR solo dal VPC specifico all'interno della rete. AWS Per ulteriori informazioni, consulta [Endpoint VPC con interfaccia Amazon ECR ()AWS PrivateLink](vpc-endpoints.md).
# Endpoint VPC con interfaccia Amazon ECR ()AWS PrivateLink
Puoi migliorare la posizione di sicurezza del VPC configurando Amazon ECR in modo che utilizzi un endpoint VPC di interfaccia. Gli endpoint VPC sono basati su una tecnologia che consente di AWS PrivateLink accedere in modo privato ad Amazon APIs ECR tramite indirizzi IP privati (sia che). IPv4 IPv6 AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECR alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale.
*Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoints VPC [nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html).*
## Considerazioni sugli endpoint VPC di Amazon ECR
Prima di configurare gli endpoint VPC per Amazon ECR, tenere presente le considerazioni riportate di seguito:
+ Per consentire alle attività Amazon ECS ospitate su istanze Amazon EC2 di estrarre immagini private da Amazon ECR, crea gli endpoint VPC di interfaccia per Amazon ECS. Per ulteriori informazioni, consulta [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) nella *Amazon Elastic Container Service* Developer Guide.
+ Le attività Amazon ECS con hosting su Fargate che estraggono le immagini del container da Amazon ECR possono limitare l'accesso al VPC specifico utilizzato dalle attività e all'endpoint VPC utilizzato dal servizio aggiungendo le chiavi di condizione al ruolo IAM per l'attività. Per ulteriori informazioni, consulta [Autorizzazioni IAM facoltative per attività Fargate che estraggono le immagini Amazon ECR su endpoint di interfaccia](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html) nella *Guida per lo sviluppatore di Amazon Elastic Container*.
+ Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC.
+ Gli endpoint VPC di Amazon ECR supportano la connettività IPv4 dual-stack (e). IPv6 Quando crei un endpoint VPC dual-stack, può gestire il traffico sia su indirizzi IP privati che su IPv4 indirizzi IP privati. IPv6
+ Gli endpoint VPC supportano i repository Amazon ECR Public tramite l'endpoint AWS API SDK negli Stati Uniti orientali (Virginia settentrionale).
+ Gli endpoint VPC supportano solo il DNS AWS fornito tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Se i container dispongono di connessioni esistenti ad Amazon S3, le relative connessioni potrebbero essere interrotte per un breve periodo quando aggiungi l'endpoint gateway Amazon S3. Se si desidera evitare l'interruzione, creare un nuovo VPC che usi l'endpoint del gateway Amazon S3, quindi migrare il cluster Amazon ECS e i relativi container in un nuovo VPC.
+ Quando un'immagine viene estratta utilizzando una regola di cache pull-through per la prima volta, se hai configurato Amazon ECR per l'utilizzo di un endpoint VPC di interfaccia tramite AWS PrivateLink , allora dovrai creare una sottorete pubblica nello stesso VPC, con un gateway NAT, quindi instradare tutto il traffico in uscita verso Internet dalla sottorete privata al gateway NAT per far funzionare il pull. Le operazioni successive di estrazione dell'immagine non richiedono questo passaggio. Per ulteriori informazioni, consulta [Scenario: accesso a Internet da una sottorete privata](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#public-nat-internet-access) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
+ Per i carichi di lavoro che richiedono moduli crittografici convalidati FIPS 140-3, Amazon ECR supporta gli endpoint FIPS per gli endpoint VPC.
### Considerazioni per le immagini Windows
Le immagini basate sul sistema operativo Windows includono artefatti con limitazioni di licenza che impediscono la distribuzione. Per impostazione predefinita, quando si inviano immagini Windows a un repository Amazon ECR, i livelli che includono questi artefatti non vengono inviati in quanto vengono considerati *livelli estranei*. Quando gli artefatti vengono forniti da Microsoft, i livelli estranei vengono recuperati dall'infrastruttura di Microsoft Azure. Per questo motivo, per consentire ai container di estrarre questi livelli estranei da Azure sono necessari passaggi aggiuntivi oltre alla creazione degli endpoint VPC.
È possibile sovrascrivere questo comportamento quando si inviano le immagini Windows ad Amazon ECR utilizzando il flag `--allow-nondistributable-artifacts` nel daemon Docker. Quando è abilitato, questo flag invia i livelli concessi in licenza ad Amazon ECR, consentendo di estrarre queste immagini da Amazon ECR tramite l'endpoint VPC senza richiedere un ulteriore accesso ad Azure.
**Importante**
L'utilizzo del flag `--allow-nondistributable-artifacts` non preclude l'obbligo dell'utente di rispettare i termini della licenza dell'immagine di base del container Windows; non è possibile pubblicare contenuti di Windows per la ridistribuzione pubblica o di terze parti. L'uso all'interno del proprio ambiente è consentito.
Per abilitare l'uso di questo flag per l'installazione Docker, è necessario modificare il file di configurazione del daemon Docker che, a seconda dell'installazione Docker, può in genere essere configurato nel menu delle impostazioni o delle preferenze nella sezione **Docker Engine** o modificando direttamente il file `C:\ProgramData\docker\config\daemon.json`.
Di seguito è illustrato un esempio della configurazione necessaria: Sostituisci il valore con l'URI del repository a cui stai inviando le immagini.
```
{
"allow-nondistributable-artifacts": [
"111122223333.dkr.ecr.us-west-2.amazonaws.com"
]
}
```
Dopo aver modificato il file di configurazione del daemon Docker, è necessario riavviare il daemon Docker prima di tentare di inviare l'immagine. Conferma che l'invio ha funzionato verificando che il livello base sia stato inviato nel repository.
**Nota**
I livelli base per le immagini Windows sono grandi. Le dimensioni del livello si tradurranno in tempi più lunghi per l'invio e costi di archiviazione aggiuntivi in Amazon ECR per queste immagini. Per questi motivi, si consiglia di utilizzare questa opzione solo quando è strettamente necessaria per ridurre i tempi di costruzione e i costi di storage in corso. Ad esempio, l'immagine `mcr.microsoft.com/windows/servercore` è di circa 1,7 GiB di dimensioni quando viene compressa in Amazon ECR.
## Creare gli endpoint VPC per Amazon ECR
Per creare gli endpoint VPC per Amazon ECR Service, utilizza la [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella *Amazon VPC User Guide*.
Gli endpoint VPC di Amazon ECR supportano la connettività IPv4 dual-stack (e). IPv6 Quando crei un endpoint VPC dual-stack, gestisce automaticamente il traffico su IPv4 entrambi gli indirizzi IP e privati. IPv6 L'endpoint indirizzerà il traffico utilizzando la versione IP appropriata in base alla configurazione di rete del client e alle funzionalità dell'endpoint.
Se disponi di endpoint VPC esistenti IPv4 solo e desideri migrare verso endpoint dual-stack, puoi modificare gli endpoint esistenti per supportare la connettività dual-stack o creare nuovi endpoint dual-stack. Quando crei o modifichi gli endpoint, assicurati che il VPC e le sottoreti supportino la versione IP che desideri utilizzare. Dopo aver creato gli endpoint dual-stack, gli endpoint supporteranno entrambi e. IPv4 IPv6
Le attività Amazon ECS con hosting sulle istanze Amazon EC2 richiedono sia gli endpoint Amazon ECR che l'endpoint gateway Amazon S3.
Le attività Amazon ECS con hosting su Fargate che utilizzano la versione della piattaforma `1.4.0` o versioni successive richiedono sia gli endpoint VPC Amazon ECR sia gli endpoint gateway Amazon S3.
**Le attività di Amazon ECS ospitate su Fargate che utilizzano una `1.3.0` versione della piattaforma o precedente richiedono solo com.amazonaws. *region*.ecr.dkr** Endpoint VPC Amazon ECR ed endpoint gateway Amazon S3.
**Nota**
L'ordine in cui vengono creati gli endpoint non è rilevante.
**com.amazonaws. *region*.ecr.dkr**
Questo endpoint viene utilizzato per il registro Docker. APIs I comandi del client Docker come `push` e `pull` utilizzano questo endpoint.
Quando si crea questo endpoint, è necessario abilitare un nome host DNS privato. Per eseguire questa operazione, accertarsi che l'opzione **Enable Private DNS Name (Abilita nome DNS privato)** sia selezionata nella console Amazon VPC quando si crea l'endpoint VPC.
**Per le connessioni conformi a FIPS 140-3, usa il nome dell'endpoint FIPS com.amazonaws. *region*.ecr-fips.dkr**
**com.amazonaws. *region*.ecr.api**
Lo specificato *region* rappresenta l'identificatore della regione per una AWS regione supportata da Amazon ECR, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio).
**Per le connessioni conformi allo standard FIPS 140-3, usa i nomi degli endpoint FIPS: com.amazonaws. ***region***.ecr-fips.dkr e com.amazonaws. *region*.ecr-fips.api.**
Questo endpoint viene utilizzato per le chiamate all'API Amazon ECR. Operazioni API come `DescribeImages` e `CreateRepository` vanno su questo endpoint.
Quando viene creato questo endpoint, è possibile abilitare un nome host DNS privato. Abilita questo nome host selezionando **Abilita nome DNS privato** nella console VPC quando crei l'endpoint VPC. Se abiliti un nome host DNS privato per l'endpoint VPC, aggiorna l'SDK o AWS CLI alla versione più recente in modo che non sia necessario specificare un URL dell'endpoint quando si utilizza l'SDK o non sia necessario. AWS CLI
**Per le connessioni conformi a FIPS 140-3, usa il nome dell'endpoint FIPS com.amazonaws. *region*.ecr-fips.api.**
Se abiliti un nome host DNS privato e utilizzi un SDK o una AWS CLI versione rilasciata prima del 24 gennaio 2019, devi utilizzare il parametro per specificare gli endpoint dell'interfaccia. `--endpoint-url` Nell'esempio seguente viene illustrato il formato per l'URL dell'endpoint.
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr.region.amazonaws.com
```
Se non si abilita un nome host DNS privato per l'endpoint VPC, è necessario utilizzare il parametro `--endpoint-url` specificando l'ID dell'endpoint VPC per l'endpoint di interfaccia. Nell'esempio seguente viene illustrato il formato per l'URL dell'endpoint.
```
aws ecr create-repository --repository-name name --endpoint-url https://VPC_endpoint_ID.api.ecr.region.vpce.amazonaws.com
```
Per le connessioni conformi a FIPS 140-3, utilizza l'URL dell'endpoint FIPS:
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr-fips.region.amazonaws.com
```
## Creare l'endpoint gateway Amazon S3
Affinché le attività Amazon ECS possano estrarre immagini private da Amazon ECR, è necessario creare un endpoint gateway per Amazon S3. L'endpoint gateway è obbligatorio perché Amazon ECR utilizza Amazon S3 per archiviare i livelli di immagine. Quando i container scaricano immagini da Amazon ECR, devono accedere a Amazon ECR per ottenere il manifest dell'immagine e quindi ad Amazon S3 per scaricare i livelli effettivi dell'immagine. Di seguito è riportato l'Amazon Resource Name (ARN) del bucket Amazon S3 che contiene i livelli per ogni immagine Docker.
```
arn:aws:s3:::prod-region-starport-layer-bucket/*
```
**Nota**
Se crei un endpoint VPC dual-stack per Amazon ECR, devi anche creare un gateway o un endpoint di interfaccia Amazon S3 dual-stack. Per i [dettagli](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#privatelink-ip-address-types), consulta la documentazione di S3.
Utilizzare la procedura [Creazione di un endpoint gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#create-gateway-endpoint) nella *Amazon VPC User Guide* per creare il seguente endpoint del gateway Amazon S3 per Amazon ECR. Quando crei l'endpoint, assicurati di selezionare le tabelle di routing per il VPC.
**com.amazonaws. *region*.s3**
L'endpoint del gateway Amazon S3 usa un documento di policy IAM per limitare l'accesso al servizio. La policy **Full Access (Accesso completo)** può essere utilizzata poiché qualsiasi limitazione relativa ai ruoli IAM dell'attività o ad altre policy utente IAM viene comunque applicata. Se si desidera limitare l'accesso del bucket Amazon S3 alle autorizzazioni minime richieste necessarie per utilizzare Amazon ECR, consulta [Autorizzazioni minime del bucket Amazon S3 per Amazon ECR](#ecr-minimum-s3-perms).
### Autorizzazioni minime del bucket Amazon S3 per Amazon ECR
L'endpoint del gateway Amazon S3 usa un documento di policy IAM per limitare l'accesso al servizio. Per consentire solo le autorizzazioni minime del bucket Amazon S3 per Amazon ECR, limita l'accesso al bucket Amazon S3 utilizzato da Amazon ECR quando crei il documento di policy IAM per l'endpoint.
La tabella seguente descrive le autorizzazioni della policy del bucket Amazon S3 richieste da Amazon ECR.
| Autorizzazione | Description |
| --- | --- |
| `arn:aws:s3:::prod-region-starport-layer-bucket/*` | Fornisce l'accesso al bucket Amazon S3 contenente i livelli per ogni immagine Docker. Rappresenta l'identificatore di regione per una regione AWS supportata da Amazon ECR, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). |
#### Esempio
L'esempio seguente spiega come fornire l'accesso ai bucket Amazon S3 richiesti per le operazioni Amazon ECR.
```
{
"Statement": [
{
"Sid": "Access-to-specific-bucket-only",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
}
]
}
```
## Crea l'endpoint Logs CloudWatch
**Le attività di Amazon ECS che utilizzano il tipo di avvio Fargate che utilizzano un VPC senza un gateway Internet e che utilizzano anche il driver di registro per inviare informazioni di registro CloudWatch a Logs richiedono `awslogs` la creazione del file com.amazonaws. *region*Endpoint VPC con interfaccia.logs** per Logs. CloudWatch Per ulteriori informazioni, consulta [Using CloudWatch Logs with interface VPC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) endpoint nella * CloudWatch Amazon* Logs User Guide.
## Creazione di una policy di endpoint per l'endpoint VPC di Amazon ECR
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non alleghi una policy quando crei un endpoint, ti AWS allega una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato. Le policy endpoint devono essere scritte in formato JSON. Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
Ti consigliamo di creare un'unica policy di risorse IAM e di collegarla a entrambi gli endpoint VPC di Amazon ECR.
Di seguito è riportato un esempio di una policy endpoint per l'API di Amazon ECR. Questa policy consente a un ruolo IAM specifico di estrarre immagini da Amazon ECR.
```
{
"Statement": [{
"Sid": "AllowPull",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
La seguente policy endpoint di esempio impedisce l'eliminazione di un repository specificato.
```
{
"Statement": [{
"Sid": "AllowAll",
"Principal": "*",
"Action": "*",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Effect": "Deny",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
}
]
}
```
L'esempio di policy endpoint seguente combina i due esempi precedenti in un'unica policy.
```
{
"Statement": [{
"Sid": "AllowAll",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Effect": "Deny",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
},
{
"Sid": "AllowPull",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
```
**Per modificare la policy endpoint VPC per Amazon ECR**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Endpoint**.
1. Se non hai già creato gli endpoint VPC per Amazon ECR, consulta [Creare gli endpoint VPC per Amazon ECR](#ecr-setting-up-vpc-create).
1. Selezionare l'endpoint VPC di Amazon ECR a cui aggiungere una policy e scegliere la scheda **Policy (Policy)** nella metà inferiore della schermata.
1. Scegli **Edit Policy (Modifica policy)** e apporta le modifiche alla policy.
1. Selezionare **Save (Salva)** per salvare la policy.
## Sottoreti condivise
Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te.
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra diversi servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) o [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui Amazon ECR fornisce un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:region:123456789012:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
Il valore di `aws:SourceArn` deve essere ResourceDescription.
L'esempio seguente mostra come utilizzare le chiavi di contesto della `aws:SourceArn` condizione `aws:SourceAccount` globale in una policy di repository Amazon ECR per consentire AWS CodeBuild l'accesso alle azioni dell'API Amazon ECR necessarie per l'integrazione con quel servizio, evitando al contempo il confuso problema del vice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CodeBuildAccess",
"Effect":"Allow",
"Principal":{
"Service":"codebuild.amazonaws.com"
},
"Action":[
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition":{
"ArnLike":{
"aws:SourceArn":"arn:aws:codebuild:us-east-1:123456789012:project/project-name"
},
"StringEquals":{
"aws:SourceAccount":"123456789012"
}
}
}
]
}
```
------