タグベースのアクセスコントロールを使用する - Amazon ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグベースのアクセスコントロールを使用する

Amazon ECR CreateRepository API アクションを使用すると、リポジトリの作成時にタグを指定できます。詳細については、「Amazon ECR でのプライベートリポジトリのタグ付け」を参照してください。

作成時にユーザーがリポジトリにタグ付けするには、そのリソースを作成するアクションを使用するためのアクセス許可が必要です (例: ecr:CreateRepository)。タグがリソース作成アクションで指定されている場合、Amazon は ecr:CreateRepository アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。

タグベースのアクセスコントロールは、IAM ポリシーを介して使用できます。以下は例です。

次のポリシーによって、ユーザーは、key=environment,value=dev としてリポジトリを作成またはタグ付けすることのみ許可されます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateTaggedRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        },
        {
            "Sid": "AllowTagRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        }
    ]
}

次のポリシーでは、 としてタグ付けされていない限り、ユーザーはすべてのリポジトリからイメージをプルできますkey=environment,value=prod

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/environment": "prod"
                }
            }
        }
    ]
}