

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon ECR のプライベートレジストリのポリシーの例
<a name="registry-permissions-examples"></a>

以下の例では、Amazon ECR レジストリに対してユーザーが所有するアクセス許可を制御するために使用できるレジストリ許可ポリシーステートメントを示しています。

**注記**  
それぞれの例では、レジストリポリシーから `ecr:CreateRepository` アクションが削除されていても、レプリケーションは引き続き発生する場合があります。ただし、レプリケーションを成功させるには、アカウント内に同じ名前のリポジトリを作成する必要があります。

## 例: ソースアカウントのすべての IAM プリンシパルにすべてのリポジトリのレプリケートを許可する
<a name="registry-permissions-examples-all"></a>

次のレジストリアクセス許可ポリシーは、ソースアカウントのすべての IAM プリンシパル (ユーザーとロール) がすべてのリポジトリをレプリケートすることを許可します。

次の点に注意してください。
+ **重要:** ポリシーで AWS アカウント ID をプリンシパルとして指定すると、ルートユーザーだけでなく、そのアカウント内のすべての IAM ユーザーとロールにアクセス許可が付与されます。その結果、アカウント全体で広範なアクセスが可能になります。
+ **セキュリティ上の考慮事項:** アカウントレベルのアクセス許可では、指定されたアカウント内のすべての IAM エンティティへのアクセスが許可されます。アクセスの制限を厳しくするには、個々の IAM ユーザー、ロールを指定するか、条件ステートメントを使用してアクセスをさらに制限します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::{{111122223333}}:{{root}}"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:{{444455556666}}:repository/{{*}}"
            ]
        }
    ]
}
```

------

## 例: 複数のアカウントからの IAM プリンシパルを許可する
<a name="registry-permissions-examples-multiple"></a>

次のレジストリアクセス許可ポリシーには、2 つのステートメントがあります。各ステートメントでは、ソースアカウントのすべての IAM プリンシパル (ユーザーとロール) がすべてのリポジトリをレプリケートできます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount1",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::{{111122223333}}:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:{{123456789012}}:repository/*"
            ]
        },
        {
            "Sid":"ReplicationAccessCrossAccount2",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::{{444455556666}}:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:{{123456789012}}:repository/*"
            ]
        }
    ]
}
```

------

## 例: ソースアカウントのすべての IAM プリンシパルにプレフィックス `prod-` のあるすべてのリポジトリのレプリケートを許可する
<a name="registry-permissions-examples-specific"></a>

次のレジストリアクセス許可ポリシーは、ソースアカウントのすべての IAM プリンシパル (ユーザーとロール) が ` prod-` で始まるすべてのリポジトリをレプリケートすることを許可します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::{{111122223333}}:{{root}}"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:{{444455556666}}:repository/{{prod-*}}"
            ]
        }
    ]
}
```

------