AWS Amazon Elastic Container Registry の マネージドポリシー - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Elastic Container Registry の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

Amazon ECR は、IAM ID または Amazon EC2 インスタンスにアタッチできる複数の管理ポリシーを提供しています。これらの管理ポリシーを使用すると、Amazon ECR リソースおよび API オペレーションへのアクセスをさまざまな制御レベルで許可できます。これらのポリシーに記載されている各 API オペレーションの詳細については、Amazon Elastic Container Registry API リファレンスの「アクション」を参照してください。

AmazonEC2ContainerRegistryFullAccess

AmazonEC2ContainerRegistryFullAccess ポリシーを IAM アイデンティティにアタッチできます。

この管理ポリシーを開始点として使用して、特定の要件に基づいて独自の IAM ポリシーを作成できます。例えば、Amazon ECR の使用を管理するための完全な管理者アクセスをユーザーまたはロールに提供するのに特化したポリシーを作成できます。Amazon ECR ライフサイクルポリシー機能を使用すると、リポジトリ内のイメージのライフサイクル管理を指定できます。ライフサイクルポリシーイベントは CloudTrail イベントとしてレポートされます。Amazon ECR は と統合 AWS CloudTrail されているため、ライフサイクルポリシーイベントを Amazon ECR コンソールに直接表示できます。AmazonEC2ContainerRegistryFullAccess マネージド IAM ポリシーには、この動作を容易にするための cloudtrail:LookupEvents アクセス許可が含まれています。

アクセス許可の詳細

このポリシーには以下のアクセス許可が含まれています。

  • ecr — プリンシパルにすべての Amazon ECR API へのフルアクセスを許可します。

  • cloudtrail – プリンシパルが CloudTrail によってキャプチャされた管理イベントまたは AWS CloudTrail Insights イベントを検索できるようにします。

AmazonEC2ContainerRegistryFullAccess ポリシーを以下に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

AmazonEC2ContainerRegistryPowerUser ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、IAM ユーザーがリポジトリに対する読み取りと書き込みを行う管理権限を付与しますが、IAM ユーザーは、リポジトリを削除することや、適用されるポリシードキュメントを変更することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ecr – リポジトリからの読み取りとリポジトリへの書き込み、ライフサイクルポリシーの読み取りをプリンシパルに許可します。プリンシパルには、リポジトリを削除するアクセス許可およびリポジトリに適用されるライフサイクルポリシーを変更するアクセス許可は付与されません。

AmazonEC2ContainerRegistryPowerUser ポリシーを以下に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

AmazonEC2ContainerRegistryPullOnly ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、Amazon ECR からコンテナイメージをプルするためのアクセス許可を付与します。レジストリでプルスルーキャッシュが有効になっている場合、アップストリームレジストリからイメージをインポートするためのプルも許可されます。

アクセス許可の詳細

このポリシーには以下のアクセス許可が含まれています。

  • ecr — リポジトリとそれぞれのライフサイクルポリシーの読み取りをプリンシパルに許可します。

AmazonEC2ContainerRegistryPullOnly ポリシーを以下に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

AmazonEC2ContainerRegistryReadOnly ポリシーを IAM アイデンティティにアタッチできます。

このポリシーでは、Amazon ECR に対する読み取り専用アクセスを付与します。リポジトリおよびリポジトリ内のイメージをリストすることができます。また、Docker CLI を使用して Amazon ECR からイメージをプルすることもできます。

アクセス許可の詳細

このポリシーには以下のアクセス許可が含まれています。

  • ecr — リポジトリとそれぞれのライフサイクルポリシーの読み取りをプリンシパルに許可します。

AmazonEC2ContainerRegistryReadOnly ポリシーを以下に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

AWSECRPullThroughCache_ServiceRolePolicy マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、プルスルーキャッシュワークフローを通じて Amazon ECR がイメージをリポジトリにプッシュすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「プルスルーキャッシュの Amazon ECR サービスにリンクされたロール」を参照してください。

ECRReplicationServiceRolePolicy

ECRReplicationServiceRolePolicy マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、サービスにリンクされたロールにアタッチされ、ユーザーに代わって Amazon ECR がアクションを実行することを許可します。詳細については、「Amazon ECR でのサービスにリンクされたロールの使用」を参照してください。

ECRTemplateServiceRolePolicy

ECRTemplateServiceRolePolicy マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、サービスにリンクされたロールにアタッチされ、ユーザーに代わって Amazon ECR がアクションを実行することを許可します。詳細については、「Amazon ECR でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシーに対する Amazon ECR の更新

Amazon ECR の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した時点から表示します。このページの変更に関する自動通知を有効にするには、Amazon ECR ドキュメントの履歴ページから RSS フィードをサブスクライブしてください。

変更 説明 日付

プルスルーキャッシュの Amazon ECR サービスにリンクされたロール - 既存ポリシーへの更新

Amazon ECR は、新しいアクセス許可を AWSECRPullThroughCache_ServiceRolePolicy ポリシーに追加しました。これらのアクセス許可により、Amazon ECR は ECR プライベートレジストリからイメージをプルできます。これは、プルスルーキャッシュルールを使用して別の Amazon ECR プライベートレジストリからイメージをキャッシュする場合に必要です。

 2025 年 3 月 12 日

AmazonEC2ContainerRegistryPullOnly – 新しいポリシー

Amazon ECR は、Amazon ECR にプルのみのアクセス許可を付与する新しいポリシーを追加しました。

 2024 年 10 月 10 日

ECRTemplateServiceRolePolicy – 新しいポリシー

Amazon ECR は新しいポリシーを追加しました。このポリシーは、リポジトリ作成テンプレート機能の ECRTemplateServiceRolePolicy サービスリンクロールに関連付けられます。

 2024 年 6 月 20 日

AWSECRPullThroughCache_ServiceRolePolicy — 既存のポリシーへの更新

Amazon ECR は、新しいアクセス許可を AWSECRPullThroughCache_ServiceRolePolicy ポリシーに追加しました。これらの権限により、Amazon ECR は Secrets Manager シークレットの暗号化されたコンテンツを取得できます。これは、プルスルーキャッシュルールを使用して、認証が必要なアップストリームレジストリからイメージをキャッシュする場合に必要です。

 2023 年 11 月 15 日

AWSECRPullThroughCache_ServiceRolePolicy — 新しいポリシー

Amazon ECR は新しいポリシーを追加しました。このポリシーは、プルスルーキャッシュ機能の AWSServiceRoleForECRPullThroughCache サービスにリンクされたロールに関連付けられます。

 2021 年 11 月 29 日

ECRReplicationServiceRolePolicy — 新しいポリシー

Amazon ECR は新しいポリシーを追加しました。このポリシーは、レプリケーション機能の AWSServiceRoleForECRReplication サービスにリンクされたロールに関連付けられます。

 2020 年 12 月 4 日

AmazonEC2ContainerRegistryFullAccess — 既存のポリシーに対する更新

Amazon ECR は、新しいアクセス許可を AmazonEC2ContainerRegistryFullAccess ポリシーに追加しました。これらのアクセス許可により、プリンシパルは Amazon ECR サービスにリンクされたロールを作成できるようになります。

 2020 年 12 月 4 日

AmazonEC2ContainerRegistryReadOnly — 既存のポリシーに対する更新

Amazon ECR は、ライフサイクルポリシーの読み取り、タグの一覧表示、イメージのスキャン結果の記述をプリンシパルに許可する新しいアクセス許可を AmazonEC2ContainerRegistryReadOnly ポリシーに追加しました。

 2019 年 12 月 10 日

AmazonEC2ContainerRegistryPowerUser — 既存のポリシーに対する更新

Amazon ECR は、新しいアクセス許可を AmazonEC2ContainerRegistryPowerUser ポリシーに追加しました。これにより、プリンシパルは、ライフサイクルポリシーの読み取り、タグの一覧表示、イメージのスキャン結果の記述を行うことができるようになります。

 2019 年 12 月 10 日

AmazonEC2ContainerRegistryFullAccess — 既存のポリシーに対する更新

Amazon ECR は、新しいアクセス許可を AmazonEC2ContainerRegistryFullAccess ポリシーに追加しました。これにより、プリンシパルは CloudTrail によってキャプチャされた管理イベントまたは AWS CloudTrail Insights イベントを検索できます。

 2017 年 11 月 10 日

AmazonEC2ContainerRegistryReadOnly — 既存のポリシーに対する更新

Amazon ECR は、新しいアクセス許可を AmazonEC2ContainerRegistryReadOnly ポリシーに追加しました。これにより、プリンシパルは Amazon ECR イメージを記述できるようになります。

 2016 年 10 月 11 日

AmazonEC2ContainerRegistryPowerUser — 既存のポリシーに対する更新

Amazon ECR は、新しいアクセス許可を AmazonEC2ContainerRegistryPowerUser ポリシーに追加しました。これにより、プリンシパルは Amazon ECR イメージを記述できるようになります。

 2016 年 10 月 11 日

AmazonEC2ContainerRegistryReadOnly – 新しいポリシー

Amazon ECR は、Amazon ECR に読み取り専用アクセス許可を付与する新しいポリシーを追加しました。これらのアクセス許可には、リポジトリおよびリポジトリ内のイメージをリストすることが含まれます。また、Docker CLI を使用して Amazon ECR からイメージをプルすることもできます。

 2015 年 12 月 21 日

AmazonEC2ContainerRegistryPowerUser — 新しいポリシー

Amazon ECR に新しいポリシーが追加されました。このポリシーは、ユーザーがリポジトリを読み書きできる管理アクセス許可を付与しますが、リポジトリを削除したり、適用されるポリシードキュメントを変更したりすることはできません。

 2015 年 12 月 21 日

AmazonEC2ContainerRegistryFullAccess – 新しいポリシー

Amazon ECR は新しいポリシーを追加しました。このポリシーは、Amazon ECR へのフルアクセスを付与します。

 2015 年 12 月 21 日

Amazon ECR が変更の追跡を開始しました。

Amazon ECR は、 AWS 管理ポリシーの変更の追跡を開始しました。

 2021 年 6 月 24 日