翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Elastic Container Registry のセキュリティ
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – クラウドで AWS AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。[「AWS 」 コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon ECR に適用されるコンプライアンスプログラムについては、「[コンプライアンスプログラムによるAWS 対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Amazon ECR 使用時における責任共有モデルの適用法を理解するのに役立ちます。以下のトピックで、セキュリティおよびコンプライアンスの目的を満たすように、Amazon ECR を設定する方法について説明します。また、Amazon ECR リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Amazon Elastic Container Registry の Identity and Access Management](security-iam.md)
+ [Amazon ECR でのデータ保護](data-protection.md)
+ [Amazon Elastic Container Registry のコンプライアンス検証](ecr-compliance.md)
+ [Amazon Elastic Container Registry のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [サービス間での不分別な代理処理の防止](cross-service-confused-deputy-prevention.md)
# Amazon Elastic Container Registry の Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を認証 (サインインを許可) し、誰に Amazon ECR リソースの使用を承認する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Elastic Container Registry と IAM が連動するしくみ](security_iam_service-with-iam.md)
+ [Amazon Elastic Container Registry のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [タグベースのアクセスコントロールを使用する](ecr-supported-iam-actions-tagging.md)
+ [AWS Amazon Elastic Container Registry の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon ECR でのサービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [Amazon Elastic Container Registry の アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Elastic Container Registry の アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Elastic Container Registry と IAM が連動するしくみ](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Elastic Container Registry のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、まず、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間のユーザーに要求する AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Elastic Container Registry と IAM が連動するしくみ
IAM を使用して Amazon ECR へのアクセスを管理する前に、Amazon ECR で使用できる IAM 機能について理解しておく必要があります。Amazon ECR およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon ECR のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon ECR のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon ECR タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon ECR のIAM ロール](#security_iam_service-with-iam-roles)
## Amazon ECR のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon ECR は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon ECR のポリシーアクションは、アクションの前にプレフィックス `ecr:` を使用します。たとえば、Amazon ECR `CreateRepository` API オペレーションを使用して Amazon ECR リポジトリを作成するアクセス許可を付与するには、ポリシーに `ecr:CreateRepository` アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。Amazon ECR は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"ecr:action1",
"ecr:action2"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "ecr:Describe*"
```
Amazon ECR アクションのリストについては、IAM ユーザーガイドの「[Amazon Elastic Container Registry のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Amazon ECR リポジトリリソースには、次の ARN があります。
```
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
たとえば、ステートメントの `us-east-1` リージョン で `my-repo` リポジトリを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
```
特定のアカウントに属するすべての リポジトリを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
```
複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Amazon ECR リソースタイプとその ARN のリストを表示するには、IAM ユーザーガイドの「[Amazon Elastic Container Registry で定義されるリソースタイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-resources-for-iam-policies)」を参照してください。各リソースの ARN を指定できるアクションについては、「[Amazon Elastic Container Registry で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon ECR では独自の条件キーが定義されており、また一部のグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
ほとんどの Amazon ECR アクションは、`aws:ResourceTag` と `ecr:ResourceTag` の条件キーをサポートします。詳細については、「[タグベースのアクセスコントロールを使用する](ecr-supported-iam-actions-tagging.md)」を参照してください。
Amazon ECR 条件キーのリストについては、IAM ユーザーガイドの「[Amazon Elastic Container Registry の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、「[Amazon Elastic Container Registry で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticcontainerregistry.html#amazonelasticcontainerregistry-actions-as-permissions)」を参照してください。
### 例
Amazon ECR でのアイデンティティベースのポリシーの例は、「[Amazon Elastic Container Registry のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon ECR のリソースベースのポリシー
リソースベースのポリシーとは、Amazon ECR リソース上で指定するプリンシパルとしてのどのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。Amazon ECR は、Amazon ECR リポジトリのリソースベースのアクセス許可ポリシーをサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、Amazon ECR リポジトリへのアクセスを AWS サービスに許可することもできます。
クロスアカウントアクセスを有効にするには、アカウント全体、または別のアカウントの IAM エンティティを[リソースベースのポリシーのプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として指定します。リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、プリンシパルエンティティにリソースへのアクセス許可も付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、アイデンティティベースのポリシーには追加の Amazon EcR リポジトリアクセス許可は必要ありません。詳細については、IAM ユーザーガイドの「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
Amazon ECR サービスでは、リポジトリポリシーと呼ばれるリソースベースのポリシーのタイプを 1 つのみサポートしており、これがリポジトリにアタッチされます。このポリシーは、リポジトリに対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーティッドユーザー) を定義します。リソースベースのポリシーをリポジトリにアタッチする方法については、「[Amazon ECR でのプライベートリポジトリポリシー](repository-policies.md)」を参照してください。
**注記**
Amazon ECR リポジトリポリシーでは、ポリシー要素 `Sid` は IAM ポリシーではサポートされていない追加の文字とスペースをサポートします。
### 例
Amazon ECR リソースベースのポリシーの例を表示するには、「[Amazon ECR でのプライベートリポジトリポリシーの例](repository-policy-examples.md)」を参照してください。
## Amazon ECR タグに基づく認可
タグは、Amazon ECR リソースにアタッチするか、Amazon ECR へのリクエストで渡すことができます。タグに基づいてアクセスを管理するには、`ecr:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Amazon ECR リソースのタグ付けの詳細については、「[Amazon ECR でのプライベートリポジトリのタグ付け](ecr-using-tags.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「[タグベースのアクセスコントロールを使用する](ecr-supported-iam-actions-tagging.md)」を参照してください。
## Amazon ECR のIAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Amazon ECR での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Amazon ECR では、一時認証情報が使用できます。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
Amazon ECR は、サービスにリンクされたロールをサポートしています。詳細については、「[Amazon ECR でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
# Amazon Elastic Container Registry のアイデンティティベースのポリシーの例
デフォルトでは、ユーザーおよびロールには Amazon ECR リソースを作成または変更するアクセス許可がありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Amazon ECR が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認可リファレンス*」の「[Amazon Elastic Container Registry のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/ecr.html)」を参照してください。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーのベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon ECR コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [ユーザーが自分のアクセス許可を表示できるようにする](#security_iam_id-based-policy-examples-view-own-permissions)
+ [1 つの Amazon ECR リポジトリにアクセスする](#security_iam_id-based-policy-examples-access-one-bucket)
## ポリシーのベストプラクティス
ID ベースのポリシーは、ユーザーのアカウント内で誰かが Amazon ECR リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Amazon ECR コンソールの使用
Amazon Elastic Container Registry コンソールにアクセスするには、最小限の許可のセットが必要です。これらのアクセス許可により、 AWS アカウントの Amazon ECR リソースの詳細を一覧表示および表示できます。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
これらのエンティティが引き続き Amazon ECR コンソールを使用できるようにするには、エンティティに `AmazonEC2ContainerRegistryReadOnly` AWS 管理ポリシーを追加します。詳細については、「IAM ユーザーガイド」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonElasticContainerRegistryPublicReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticContainerRegistryPublicReadOnly.html)」を参照してください。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## ユーザーが自分のアクセス許可を表示できるようにする
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 1 つの Amazon ECR リポジトリにアクセスする
この例では、 AWS アカウントのユーザーに Amazon ECR リポジトリの 1 つである へのアクセス権を付与します`my-repo`。また、ユーザーがイメージをプッシュ、プル、リスト表示できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"GetAuthorizationToken",
"Effect":"Allow",
"Action":[
"ecr:GetAuthorizationToken"
],
"Resource":"*"
},
{
"Sid":"ManageRepositoryContents",
"Effect":"Allow",
"Action":[
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:GetRepositoryPolicy",
"ecr:DescribeRepositories",
"ecr:ListImages",
"ecr:DescribeImages",
"ecr:BatchGetImage",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage"
],
"Resource":"arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
}
]
}
```
------
# タグベースのアクセスコントロールを使用する
Amazon ECR `CreateRepository` API アクションでは、リポジトリ作成時にタグを指定することができます。詳細については、「[Amazon ECR でのプライベートリポジトリのタグ付け](ecr-using-tags.md)」を参照してください。
作成時にユーザーがリポジトリにタグ付けするには、そのリソースを作成するアクションを使用するためのアクセス許可が必要です (例: `ecr:CreateRepository`)。タグがリソース作成アクションで指定されている場合、Amazon は `ecr:CreateRepository` アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。
タグベースのアクセスコントロールは、IAM ポリシーを介して使用できます。以下は例です。
次のポリシーによって、ユーザーは、`key=environment,value=dev` としてリポジトリを作成またはタグ付けすることのみ許可されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedRepository",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
},
{
"Sid": "AllowTagRepository",
"Effect": "Allow",
"Action": [
"ecr:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "dev"
}
}
}
]
}
```
------
次のポリシーでは、`key=environment,value=prod` としてタグ付けされている場合を除き、ユーザーはすべてのリポジトリからイメージをプルできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecr:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# AWS Amazon Elastic Container Registry の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
Amazon ECR は、IAM ID または Amazon EC2 インスタンスにアタッチできる複数の管理ポリシーを提供しています。これらの管理ポリシーを使用すると、Amazon ECR リソースおよび API オペレーションへのアクセスをさまざまな制御レベルで許可できます。これらのポリシーに記載されている各 API オペレーションの詳細については、*Amazon Elastic Container Registry API リファレンス*の「[アクション](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_Operations.html)」を参照してください。
**Topics**
+ [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)
+ [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)
+ [Amazon EC2コンテナレジストリプルオンリー](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)
+ [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)
+ [`AWSECRPullThroughCache_ServiceRolePolicy`](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)
+ [`ECRReplicationServiceRolePolicy`](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)
+ [`ECRTemplateServiceRolePolicy`](#security-iam-awsmanpol-ECRTemplateServiceRolePolicy)
+ [AWS マネージドポリシーに対する Amazon ECR の更新](#security-iam-awsmanpol-updates)
## AmazonEC2ContainerRegistryFullAccess
`AmazonEC2ContainerRegistryFullAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon ECR リソースへの管理アクセス権を付与し、Amazon ECR が統合されている AWS サービスへの IAM ID (ユーザー、グループ、ロールなど) アクセス権を付与して、すべての Amazon ECR 機能を使用します。このポリシーを使用すると、 AWS マネジメントコンソールで利用可能な Amazon ECR のすべての機能にアクセスできます。
このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerRegistryFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryFullAccess.html)」を参照してください。
## AmazonEC2ContainerRegistryPowerUser
`AmazonEC2ContainerRegistryPowerUser` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、IAM ユーザーがリポジトリに対する読み取りと書き込みを行う管理権限を付与しますが、IAM ユーザーは、リポジトリを削除することや、適用されるポリシードキュメントを変更することはできません。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerRegistryPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPowerUser.html)」を参照してください。
## Amazon EC2コンテナレジストリプルオンリー
`AmazonEC2ContainerRegistryPullOnly` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon ECR からコンテナイメージをプルするためのアクセス許可を付与します。レジストリでプルスルーキャッシュが有効になっている場合、アップストリームレジストリからイメージをインポートするためのプルも許可されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)」を参照してください。
## AmazonEC2ContainerRegistryReadOnly
`AmazonEC2ContainerRegistryReadOnly` ポリシーを IAM アイデンティティにアタッチできます。このポリシーでは、Amazon ECR に対する読み取り専用アクセスを付与します。リポジトリおよびリポジトリ内のイメージをリストすることができます。また、Docker CLI を使用して Amazon ECR からイメージをプルすることもできます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonEC2ContainerRegistryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryReadOnly.html)」を参照してください。
## `AWSECRPullThroughCache_ServiceRolePolicy`
`AWSECRPullThroughCache_ServiceRolePolicy` マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、プルスルーキャッシュワークフローを通じて Amazon ECR がイメージをリポジトリにプッシュすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[プルスルーキャッシュの Amazon ECR サービスにリンクされたロール](slr-pullthroughcache.md)」を参照してください。
## `ECRReplicationServiceRolePolicy`
`ECRReplicationServiceRolePolicy` マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、サービスにリンクされたロールにアタッチされ、ユーザーに代わって Amazon ECR がアクションを実行することを許可します。詳細については、「[Amazon ECR でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
## `ECRTemplateServiceRolePolicy`
`ECRTemplateServiceRolePolicy` マネージド IAM ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、サービスにリンクされたロールにアタッチされ、ユーザーに代わって Amazon ECR がアクションを実行することを許可します。詳細については、「[Amazon ECR でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシーに対する Amazon ECR の更新
このサービスがこれらの変更の追跡を開始した時点からの Amazon ECR の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を有効にするには、Amazon ECR ドキュメントの履歴ページから RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [プルスルーキャッシュの Amazon ECR サービスにリンクされたロール](slr-pullthroughcache.md) - 既存ポリシーへの更新 | Amazon ECR は、新しいアクセス許可を `AWSECRPullThroughCache_ServiceRolePolicy` ポリシーに追加しました。これらのアクセス許可では、Amazon ECR が ECR プライベートレジストリからイメージをプルすることが許可されます。これは、プルスルーキャッシュルールを使用して別の Amazon ECR プライベートレジストリからイメージをキャッシュするときに必要です。 | 2025 年 3 月 12 日 |
| [AmazonEC2ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) – 新しいポリシー | Amazon ECR に、プル専用アクセス許可を Amazon ECR に付与する新しいポリシーが追加されました。 | 2024 年 10 月 10 日 |
| [ECRTemplateServiceRolePolicy](slr-rct.md) – 新しいポリシー | Amazon ECR は新しいポリシーを追加しました。このポリシーは、リポジトリ作成テンプレート機能の `ECRTemplateServiceRolePolicy` サービスリンクロールに関連付けられます。 | 2024 年 6 月 20 日 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](slr-pullthroughcache.md) — 既存のポリシーへの更新 | Amazon ECR は、新しいアクセス許可を `AWSECRPullThroughCache_ServiceRolePolicy` ポリシーに追加しました。これらの権限により、Amazon ECR は Secrets Manager シークレットの暗号化されたコンテンツを取得できます。これは、プルスルーキャッシュルールを使用して、認証が必要なアップストリームレジストリからイメージをキャッシュする場合に必要です。 | 2023 年 11 月 15 日 |
| [AWSECRPullThroughCache\$1ServiceRolePolicy](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy) — 新しいポリシー | Amazon ECR は新しいポリシーを追加しました。このポリシーは、プルスルーキャッシュ機能の `AWSServiceRoleForECRPullThroughCache` サービスにリンクされたロールに関連付けられます。 | 2021 年 11 月 29 日 |
| [ECRReplicationServiceRolePolicy](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy) — 新しいポリシー | Amazon ECR は新しいポリシーを追加しました。このポリシーは、レプリケーション機能の `AWSServiceRoleForECRReplication` サービスにリンクされたロールに関連付けられます。 | 2020 年 12 月 4 日 |
| [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — 既存のポリシーに対する更新 | Amazon ECR は、新しいアクセス許可を `AmazonEC2ContainerRegistryFullAccess` ポリシーに追加しました。これらのアクセス許可により、プリンシパルは Amazon ECR サービスにリンクされたロールを作成できるようになります。 | 2020 年 12 月 4 日 |
| [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — 既存のポリシーに対する更新 | Amazon ECR は、ライフサイクルポリシーの読み取り、タグの一覧表示、イメージのスキャン結果の記述をプリンシパルに許可する新しいアクセス許可を `AmazonEC2ContainerRegistryReadOnly` ポリシーに追加しました。 | 2019 年 12 月 10 日 |
| [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — 既存のポリシーに対する更新 | Amazon ECR は、新しいアクセス許可を `AmazonEC2ContainerRegistryPowerUser` ポリシーに追加しました。これにより、プリンシパルは、ライフサイクルポリシーの読み取り、タグの一覧表示、イメージのスキャン結果の記述を行うことができるようになります。 | 2019 年 12 月 10 日 |
| [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) — 既存のポリシーに対する更新 | Amazon ECR は、新しいアクセス許可を `AmazonEC2ContainerRegistryFullAccess` ポリシーに追加しました。これにより、プリンシパルは CloudTrail によってキャプチャされた管理イベントまたは AWS CloudTrail Insights イベントを検索できます。 | 2017 年 11 月 10 日 |
| [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) — 既存のポリシーに対する更新 | Amazon ECR は、新しいアクセス許可を `AmazonEC2ContainerRegistryReadOnly` ポリシーに追加しました。これにより、プリンシパルは Amazon ECR イメージを記述できるようになります。 | 2016 年 10 月 11 日 |
| [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — 既存のポリシーに対する更新 | Amazon ECR は、新しいアクセス許可を `AmazonEC2ContainerRegistryPowerUser` ポリシーに追加しました。これにより、プリンシパルは Amazon ECR イメージを記述できるようになります。 | 2016 年 10 月 11 日 |
| [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) – 新しいポリシー | Amazon ECR は、Amazon ECR に読み取り専用アクセス権限を付与する新しいポリシーを追加しました。これらのアクセス許可には、リポジトリおよびリポジトリ内のイメージをリストすることが含まれます。また、Docker CLI を使用して Amazon ECR からイメージをプルすることもできます。 | 2015 年 12 月 21 日 |
| [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) — 新しいポリシー | Amazon ECR は、ユーザーがリポジトリに対する読み取りと書き込みを行う管理権限を付与する新しいポリシーを追加しました。しかし、ユーザーは、リポジトリを削除することや、適用されるポリシードキュメントを変更することはできません。 | 2015 年 12 月 21 日 |
| [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) – 新しいポリシー | Amazon ECR は新しいポリシーを追加しました。このポリシーは、Amazon ECR へのフルアクセスを付与します。 | 2015 年 12 月 21 日 |
| Amazon ECR が変更の追跡を開始しました。 | Amazon ECR は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 24 日 |
# Amazon ECR でのサービスにリンクされたロールの使用
Amazon Elastic Container Registry (Amazon ECR) は、 AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用して、レプリケーションとプルスルーキャッシュ機能を使用するために必要なアクセス許可を提供します。サービスにリンクされたロールは、Amazon ECR に直接リンクされた特殊な IAM ロールです。サービスにリンクされたロールは、Amazon ECR で事前定義されています。これには、サービスがプライベートレジストリのレプリケーションとプルスルーキャッシュ機能をサポートするために必要なすべてのアクセス許可が含まれます。レジストリのレプリケーションまたはプルスルーキャッシュを構成すると、サービスにリンクされたロールが自動的に作成されます。詳細については、「[Amazon ECR でのプライベートレジストリ設定](registry-settings.md)」を参照してください。
サービスにリンクされたロールを使用すると、Amazon ECR を使用したレプリケーションとプルスルーキャッシュの設定が簡単になります。この理由は、このロールを使用することにより、必要なアクセス許可をすべて手動で追加する必要がなくなるためです。サービスにリンクされたロールのアクセス許可は、Amazon ECR により定義されます。特に指定されている場合を除き、そのロールを引き受けることができるのは Amazon ECR のみです。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。アクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
対応するサービスにリンクされたロールを削除できるのは、先にレジストリでレプリケーションまたはプルスルーキャッシュのいずれかを無効にした後のみです。これにより、これらの機能に対して Amazon ECR で必要なアクセス許可を誤って削除することがなくなります。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。このリンク先のページで、「**サービスにリンクされたロール**」列が「**あり**」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**あり**] リンクを選択します。
**Topics**
+ [Amazon ECR のサービスにリンクされたロールがサポートされるリージョン](#slr-regions)
+ [レプリケーション用の Amazon ECR サービスにリンクされたロール](slr-replication.md)
+ [プルスルーキャッシュの Amazon ECR サービスにリンクされたロール](slr-pullthroughcache.md)
+ [リポジトリ作成テンプレート用の Amazon ECR サービスリンクロール](slr-rct.md)
## Amazon ECR のサービスにリンクされたロールがサポートされるリージョン
Amazon ECR では、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされています。Amazon ECR リージョンの可用性については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
# レプリケーション用の Amazon ECR サービスにリンクされたロール
Amazon ECR は、**AWSServiceRoleForECRReplication** という名前のサービスリンクロールを使用します。これは、Amazon ECR が複数のアカウント間でイメージをレプリケートすることを許可します。
## Amazon ECR でのサービスにリンクされたロールのアクセス許可
サービスにリンクされた AWSServiceRoleForECRReplication ロールは、以下のサービスを信頼してロールを引き受けます。
+ `replication.ecr.amazonaws.com`
以下の `ECRReplicationServiceRolePolicy` ロールのアクセス許可ポリシーは、リソースに対して以下のアクションを使用することを Amazon ECR に許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "*"
}
]
}
```
------
**注記**
`ReplicateImage` は、Amazon ECR がレプリケーションに使用する内部 API で、直接呼び出すことはできません。
アクセス許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの作成
Amazon ECR サービスにリンクされたロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でレジストリのレプリケーション設定を構成すると、Amazon ECR によってサービスにリンクされたロールが作成されます。
このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。レジストリのレプリケーション設定を構成すると、サービスにリンクされたロールAmazon ECR が Amazon ECR によって再度作成されます。
## Amazon ECR でのサービスにリンクされたロールの編集
Amazon ECR では、サービスにリンクされた AWSServiceRoleForECRReplication ロールを手動で削除することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンでレジストリのレプリケーション設定を削除する必要があります。
**注記**
Amazon ECR サービスがロールを使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。
**サービスにリンクされた AWSServiceRoleForECRReplication ロールが使用している Amazon ECR リソースを削除するには**
1. Amazon ECR コンソール ([https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)) を開きます。
1. ナビゲーションバーから、レプリケーション設定が有効なリージョンを選択します。
1. ナビゲーションペインで、[**Private registry**] (プライベートレジストリ) を選択します。
1. **[Private registry]** (プライベートレジストリ) ページの **[Replication configuration]** (レプリケーション設定) セクションで、**[Edit]** (編集) をクリックします。
1. すべてのレプリケーションルールを削除するには、**[Delete all]** (すべて削除) を選択します。このステップには確認が必要です。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForECRReplication** サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
# プルスルーキャッシュの Amazon ECR サービスにリンクされたロール
Amazon ECRは、Amazon ECR がユーザーに代わってプルスルーキャッシュワークフローを使用してリポジトリにイメージをプッシュするためのアクセス許可を付与する、**AWSServiceRoleForECRPullThroughCache** という名前のサービスにリンクされたロールを使用します。プルスルーの詳細については、「[プルスルーキャッシュ、プッシュ時作成、またはレプリケーションアクション中に作成されたリポジトリを制御するテンプレート](repository-creation-templates.md)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールのアクセス許可
**AWSServiceRoleForECRPullThroughCache** サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `pullthroughcache.ecr.amazonaws.com`
**アクセス許可の詳細**
`AWSECRPullThroughCache_ServiceRolePolicy` 許可ポリシーは、サービスにリンクされたロールにアタッチされます。この管理ポリシーは Amazon ECR に以下のアクションを実行する許可を付与します。詳細については、「[`AWSECRPullThroughCache_ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)」を参照してください。
+ `ecr` — Amazon ECR サービスがプライベートリポジトリにイメージをプルおよびプッシュすることを許可します。
+ `secretsmanager:GetSecretValue` – Amazon ECR サービスが AWS Secrets Manager シークレットの暗号化されたコンテンツを取得できるようにします。これは、プルスルーキャッシュルールを使用して、プライベートレジストリの認証が必要なアップストリームレジストリからイメージをキャッシュする場合に必要です。この許可は、`ecr-pullthroughcache/` という名前のプレフィックスが付いたシークレットのみに適用されます。
`AWSECRPullThroughCache_ServiceRolePolicy` ポリシーには、次の JSON が含まれます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:InitiateLayerUpload",
"ecr:UploadLayerPart",
"ecr:CompleteLayerUpload",
"ecr:PutImage",
"ecr:BatchGetImage",
"ecr:BatchImportUpstreamImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetImageCopyStatus"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ecr-pullthroughcache/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
アクセス許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの作成
プルスルーキャッシュの Amazon ECR サービスにリンクされたロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でプライベートレジストリのプルスルーキャッシュルールを作成すると、Amazon ECR によってサービスにリンクされたロールが作成されます。
このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。プライベートレジストリーのプルスルーキャッシュルールを作成すると、サービスにリンクされたロールがまだ存在しない場合は、Amazon ECR によって自動的に作成されます。
## Amazon ECR でのサービスにリンクされたロールの編集
Amazon ECR は、**AWSServiceRoleForECRPullThroughCache** サービスにリンクされたロールの手動での編集を許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスにリンクされたロールを手動で削除するには、すべてのリージョンでレジストリのプルスルーキャッシュルールを削除する必要があります。
**注記**
Amazon ECR サービスがロールをまだ使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。
****AWSServiceRoleForECRPullThroughCache** サービスリンクロールが使用している Amazon ECR リソースを削除するには**
1. Amazon ECR コンソール ([https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)) を開きます。
1. ナビゲーションバーから、プルスルーキャッシュルールを作成するリージョンを選択します。
1. ナビゲーションペインで、[**Private registry**] (プライベートレジストリ) を選択します。
1. **[Private registry]** (プライベートレジストリ) ページの **[Pull through cache configuration]** (プルスルーキャッシュの設定) セクションで、**[Edit]** (編集) をクリックします。
1. 作成したプルスルーキャッシュルールごとに、ルールを選択し、**[Delete rule]** (ルールを削除) を選択します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForECRPullThroughCache** サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
# リポジトリ作成テンプレート用の Amazon ECR サービスリンクロール
Amazon ECR は、**AWSServiceRoleForECRTemplate** という名前のサービスリンクロールを使用します。これは、リポジトリ作成テンプレートのアクションを完了するために Amazon ECR がユーザーに代わってアクションを実行するためのアクセス許可を付与します。
## Amazon ECR でのサービスにリンクされたロールのアクセス許可
**AWSServiceRoleForECRTemplate** サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
+ `ecr.amazonaws.com`
**アクセス許可の詳細**
``ECRTemplateServiceRolePolicy`` 許可ポリシーは、サービスにリンクされたロールにアタッチされます。この管理ポリシーは、ユーザーに代わってリポジトリ作成アクションを実行するためのアクセス許可を Amazon ECR に付与します。
`ECRTemplateServiceRolePolicy` ポリシーには、次の JSON が含まれます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateRepositoryWithTemplate",
"Effect": "Allow",
"Action": [
"ecr:CreateRepository"
],
"Resource": "*"
}
]
}
```
------
アクセス許可を設定して、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスリンクロールの作成、編集、削除を行うことを許可する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの作成
リポジトリ作成テンプレート用に Amazon ECR サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でプライベートレジストリのリポジトリ作成テンプレートルールを作成すると、Amazon ECR によってサービスにリンクされたロールが作成されます。
このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。プライベートレジストリ用のリポジトリ作成ルールを作成すると、Amazon ECR によってサービスリンクロールが自動的に作成されます (まだ存在しない場合)。
## Amazon ECR でのサービスにリンクされたロールの編集
Amazon ECR では、**AWSServiceRoleForECRTemplate** サービスリンクロールを手動で編集することは許可されません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon ECR でのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、アクティブにモニタリングまたはメンテナンスされない未使用のエンティティがなくなります。ただし、サービスリンクロールを手動で削除するには、すべてのリージョンでレジストリ用のリポジトリ作成ルールを削除する必要があります。
**注記**
Amazon ECR サービスがロールをまだ使用しているときにリソースを削除しようとすると、削除アクションが失敗することがあります。その場合は、数分待ってから再試行してください。
****AWSServiceRoleForECRTemplate** サービスリンクロールが使用している Amazon ECR リソースを削除する場合**
1. Amazon ECR コンソール ([https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/)) を開きます。
1. ナビゲーションバーから、リポジトリ作成ルールが作成されているリージョンを選択します。
1. ナビゲーションペインで、[**Private registry**] (プライベートレジストリ) を選択します。
1. **[プライベートレジストリ]** ページの **[リポジトリ作成テンプレート]** セクションで、**[編集]** を選択します。
1. 作成したリポジトリ作成ルールごとに、ルールを選択し、**[ルールの削除]** を選択します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForECRTemplate** サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
# Amazon Elastic Container Registry の アイデンティティとアクセスのトラブルシューティング
次の情報は、Amazon ECR と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Amazon ECR でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Amazon ECR リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Amazon ECR でアクションを実行する権限がない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `ecr:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ecr:GetWidget on resource: my-example-widget
```
この場合、`ecr:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon ECR にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Amazon ECR でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに Amazon ECR リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Amazon ECR がこれらの機能をサポートしているかどうかについては、「[Amazon Elastic Container Registry と IAM が連動するしくみ](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Amazon ECR でのデータ保護
AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Elastic Container Service でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon ECS AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
**Topics**
+ [保管中の暗号化](encryption-at-rest.md)
# 保管中の暗号化
**重要**
AWS KMS (DSSE-KMS) を使用した二層式サーバー側の暗号化は、 AWS GovCloud (US) リージョンでのみ使用できます。
Amazon ECR は、Amazon ECR が管理する Amazon S3 バケットにイメージを保存します。デフォルトでは、Amazon ECR は、Amazon S3 が管理する暗号化キーによるサーバー側暗号化を使用し、保管中のデータが AES-256 暗号化アルゴリズムで暗号化されます。これは、お客様によるアクションを必要とせず、追加料金なしで提供されます。詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)」を参照してください。
Amazon ECR リポジトリの暗号化をより詳細に制御するには、 AWS Key Management Service () に保存されている KMS キーでサーバー側の暗号化を使用できますAWS KMS。を使用して AWS KMS データを暗号化する場合、Amazon ECR によって管理 AWS マネージドキーされるデフォルトを使用するか、独自の KMS キー (カスタマーマネージドキーと呼ばれます) を指定できます。詳細については、*Amazon Simple Storage Service ユーザーガイド*の[AWS KMS 「 (SSE-KMS) に保存されている KMS キーによるサーバー側の暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)」を参照してください。
AWS KMS () による二層式サーバー側の暗号化を使用して、Amazon ECR イメージに 2 つの暗号化レイヤーを適用できますDSSE-KMS。 DSSE-KMSオプションは に似ていますがSSE-KMS、1 つのレイヤーではなく 2 つの個別の暗号化レイヤーを適用します。詳細については、[AWS KMS 「キーによる二層式サーバー側の暗号化の使用 (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)」を参照してください。
各 Amazon ECR リポジトリには、リポジトリの作成時に設定される暗号化設定があります。リポジトリごとに異なる暗号化設定を使用できます。詳細については、「[イメージを保存するための Amazon ECR プライベートリポジトリの作成](repository-create.md)」を参照してください。
AWS KMS 暗号化を有効にしてリポジトリを作成すると、KMS キーを使用してリポジトリの内容を暗号化します。さらに、Amazon ECR は、Amazon ECR リポジトリを AWS KMS 被付与者プリンシパルとして KMS キーに権限を追加します。
Amazon ECR が AWS KMS と統合してレポジトリを暗号化および復号化する方法の高レベルの概要を以下に示します。
1. リポジトリを作成すると、Amazon ECR は [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 呼び出しを に送信 AWS KMS し、暗号化設定で指定された KMS キーの Amazon リソースネーム (ARN) を検証して取得します。
1. Amazon ECR は、2 つの [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを AWS KMS に送信して KMS キーに許可を作成し、Amazon ECR がデータキーを使用してデータを暗号化および復号できるようにします。
1. イメージをプッシュすると、イメージレイヤーとマニフェストの暗号化に使用する KMS キー AWS KMS を指定する [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) リクエストが に対して行われます。
1. AWS KMS は新しいデータキーを生成し、指定された KMS キーで暗号化し、暗号化されたデータキーを送信してイメージレイヤーメタデータとイメージマニフェストとともに保存します。
1. イメージをプルすると、暗号化されたデータキーを指定して AWS KMS、[復号](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)リクエストが に対して行われます。
1. AWS KMS は暗号化されたデータキーを復号し、復号されたデータキーを Amazon S3 に送信します。
1. データキーは、イメージレイヤーをプルする前にイメージレイヤーを復号化するために使用されます。
1. リポジトリが削除されると、Amazon ECR は 2 つの [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) リクエストを に送信 AWS KMS して、リポジトリ用に作成された許可を廃止します。
## 考慮事項
Amazon ECR で AWS KMS ベースの暗号化 (SSE-KMS または DSSE-KMS) を使用する場合は、次の点を考慮する必要があります。
+ KMS 暗号化を使用して Amazon ECR リポジトリを作成し、KMS キーを指定しない場合、Amazon ECR は`aws/ecr`デフォルトでエイリアス AWS マネージドキー で を使用します。この KMS キーは、KMS 暗号化を有効にしたリポジトリを初めて作成するときに、アカウントに作成されます。
+ リポジトリの作成後にリポジトリの暗号化設定を変更することはできません。
+ 独自の KMS キーで KMS 暗号化を使用する場合、そのキーはリポジトリと同じリージョンに存在する必要があります。
+ お客様の代わりに Amazon ECR が作成する許可は取り消さないでください。アカウントの AWS KMS キーを使用するアクセス許可を Amazon ECR に付与する許可を取り消すと、Amazon ECR はこのデータにアクセスしたり、リポジトリにプッシュされた新しいイメージを暗号化したり、プル時に復号したりすることはできません。Amazon ECR の許可を取り消すと、変更がすぐに適用されます。アクセス権限を取り消すには、許可を取り消すのではなく、リポジトリを削除します。リポジトリを削除すると、Amazon ECR がユーザーに代わって許可を取り消します。
+ AWS KMS キーの使用にはコストがかかります。詳細については、[AWS Key Management Service 料金表](https://aws.amazon.com/kms/pricing/)を参照してください。
+ 二層式サーバー側の暗号化の使用にはコストがかかります。詳細については、[Amazon ECR の料金](https://aws.amazon.com/ecr/pricing/)を参照してください。
## 必要な IAM 許可
AWS KMSを使用するサーバー側の暗号化が有効な Amazon ECR リポジトリを作成または削除する場合、必要なアクセス許可は、使用する特定の KMS キーに応じて異なります。
### Amazon ECR AWS マネージドキー の を使用する場合に必要な IAM アクセス許可
デフォルトでは、Amazon ECR リポジトリで AWS KMS 暗号化が有効になっていても KMS キーが指定されていない場合、Amazon ECR AWS マネージドキー の が使用されます。Amazon ECR の AWSマネージド KMS キーを使用してリポジトリを暗号化する場合、リポジトリを作成するアクセス許可を持つプリンシパルは、リポジトリで AWS KMS 暗号化を有効にすることもできます。ただし、リポジトリを削除する IAM プリンシパルには、`kms:RetireGrant` アクセス許可が必要です。これにより、リポジトリの作成時に AWS KMS キーに追加された許可が廃止されます。
次の IAM ポリシーの例をインラインポリシーとしてユーザーに追加すると、暗号化が有効なリポジトリを削除するのに必要な最小限のアクセス許可がユーザーに付与されます。リポジトリの暗号化に使用する KMS キーは、リソースパラメータを使用して指定できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToRetireTheGrantsAssociatedWithTheKey",
"Effect": "Allow",
"Action": [
"kms:RetireGrant"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### カスタマーマネージドキーを使用する場合に必要な IAM アクセス許可
カスタマーマネージドキーを使用して AWS KMS 暗号化を有効にしたリポジトリを作成する場合、リポジトリを作成するユーザーまたはロールの KMS キーポリシーと IAM ポリシーの両方に必要なアクセス許可があります。
独自の KMS キーを作成する場合、 AWS KMS が作成するデフォルトのキーポリシーを使用するか、独自のキーポリシーを指定することができます。アカウント所有者がカスタマーマネージドキーを管理できるように、KMS キーのキーポリシーでは、アカウントのルートユーザーのすべての AWS KMS アクションを許可する必要があります。追加のスコープ付きアクセス許可をキーポリシーに追加することもできますが、少なくともルートユーザーには KMS キーを管理するためのアクセス許可が必要です。Amazon ECR から実行されるリクエストにのみ KMS を使用するには、[kms:ViaService 条件キー](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)を `ecr..amazonaws.com` 値で使用できます。
次のキーポリシーの例では、KMS キーを所有する AWS アカウント (ルートユーザー) に KMS キーへのフルアクセスを許可します。このキーポリシーの例の詳細については、「 *AWS Key Management Service デベロッパーガイド*[」の AWS 「アカウントへのアクセスを許可」および「IAM ポリシーを有効にする](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-key-policy",
"Statement": [
{
"Sid": "EnableIAMUserPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
リポジトリを作成する IAM ユーザー、IAM ロール、または AWS アカウントには`kms:CreateGrant`、必要な Amazon ECR アクセス`kms:DescribeKey`許可に加えて、、`kms:RetireGrant`、および アクセス許可が必要です。
**注記**
リポジトリを作成するユーザーまたはロールの IAM ポリシーに `kms:RetireGrant` アクセス許可を追加する必要があります。`kms:CreateGrant` と `kms:DescribeKey` のアクセス許可は、KMS キーのキーポリシー、またはリポジトリを作成するユーザーまたはロールの IAM ポリシーに追加できます。アクセス AWS KMS 許可の仕組みの詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[AWS KMS 「API アクセス許可: アクションとリソースのリファレンス](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)」を参照してください。
次の IAM ポリシーの例をインラインポリシーとしてユーザーに追加すると、暗号化が有効なリポジトリの作成、および作業が終了したときにリポジトリの削除を行うのに必要な最小限のアクセス許可がユーザーに付与されます。リポジトリの暗号化に使用する AWS KMS key は、リソースパラメータを使用して指定できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ecr-kms-permissions",
"Statement": [
{
"Sid": "AllowAccessToCreateAndRetireTheGrantsAssociatedWithTheKeyAsWellAsDescribeTheKey",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:RetireGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
}
]
}
```
------
### リポジトリの作成時にコンソールに KMS キーを一覧表示できるようにする
Amazon ECR コンソールを使用してリポジトリを作成すると、リポジトリの暗号化を有効にするときに、ユーザーがリージョンでカスタマーマネージド KMS キーを一覧表示するアクセス許可を付与できます。次の IAM ポリシーの例は、コンソールを使用するときに KMS キーとエイリアスを一覧表示するために必要なアクセス許可を示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
}
}
```
------
## との Amazon ECR インタラクションのモニタリング AWS KMS
を使用して AWS CloudTrail 、Amazon ECR が AWS KMS ユーザーに代わって に送信するリクエストを追跡できます。CloudTrail ログのログエントリには、より簡単に識別できるように暗号化コンテキストキーが含まれています。
### Amazon ECR 暗号化コンテキスト
*暗号化コンテキスト* は、任意非シークレットデータを含むキーと値のペアのセットです。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS 暗号化バインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。
[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) および [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストでは AWS KMS、Amazon ECR は、使用するリポジトリと Amazon S3 バケットを識別する 2 つの名前と値のペアを持つ暗号化コンテキストを使用します。以下の例ではこれを示しています。名前は変わりませんが、組み合わされた暗号化コンテキストの値は、値ごとに異なります。
```
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df",
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
}
```
暗号化コンテキストを使用して、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) や Amazon CloudWatch Logs などの監査レコードやログで、ポリシーや許可の認可の条件として、これらの暗号化オペレーションを識別できます。
Amazon ECR 暗号化コンテキストは、2 つの名前と値のペアで構成されます。
+ **aws:s3:arn** – バケットを識別する最初の名前と値のペア。キーは、`aws:s3:arn` です。値は、Amazon S3 バケットの Amazon リソースネーム (ARN)です。
```
"aws:s3:arn": "ARN of an Amazon S3 bucket"
```
たとえば、バケットの ARN が `arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df` の場合、暗号化コンテキストには次のペアが含まれます。
```
"arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df"
```
+ **aws:ecr:arn** – リポジトリの Amazon リソースネーム (ARN) を識別する 2 番目の名前と値のペア。キーは、`aws:ecr:arn` です。値は、リポジトリの ARNです。
```
"aws:ecr:arn": "ARN of an Amazon ECR repository"
```
たとえば、リポジトリの ARN が `arn:aws:ecr:us-west-2:111122223333:repository/repository-name` の場合、暗号化コンテキストには次のペアが含まれます。
```
"aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
```
## トラブルシューティング
コンソールで Amazon ECR リポジトリを削除するときに、リポジトリが正常に削除されても、Amazon ECR がリポジトリの KMS キーに追加された許可を使用停止できない場合、次のエラーが表示されます。
```
The repository [{repository-name}] has been deleted successfully but the grants created by the kmsKey [{kms_key}] failed to be retired
```
この場合、リポジトリの AWS KMS 許可を自分で廃止できます。
**リポジトリの AWS KMS 許可を手動で廃止するには**
1. リポジトリに使用される AWS KMS キーの許可を一覧表示します。`key-id` 値は、コンソールに表示されるエラーに含まれています。`list-keys` コマンドを使用して、アカウント内の特定のリージョンの AWS マネージドキー とカスタマーマネージド KMS キーの両方を一覧表示することもできます。
```
aws kms list-grants \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc
--region us-west-2
```
出力には、リポジトリの Amazon リソースネーム (ARN) を含む `EncryptionContextSubset` が含まれます。これを使用して、使用停止にするのがキーに追加されたどの許可かを特定できます。`GrantId` 値は、次のステップで許可を使用停止するときに使用します。
1. リポジトリに追加された AWS KMS キーの各許可を廃止します。以前のステップの出力の許可の ID で *GrantId* の値を置き換えます。
```
aws kms retire-grant \
--key-id b8d9ae76-080c-4043-9237-c815bfc21dfc \
--grant-id GrantId \
--region us-west-2
```
# Amazon Elastic Container Registry のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、「コンプライアンス[AWS のサービス プログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Amazon Elastic Container Registry のインフラストラクチャセキュリティ
マネージドサービスである Amazon Elastic Container Registry は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で Amazon ECR にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、Amazon ECR ではリソースベースのアクセスポリシーがサポートされているため、ソース IP アドレスに基づく制限を含めることができます。また、Amazon ECR ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPC からのアクセスを管理することもできます。これにより、実質的に、ネットワーク内の特定の VPC からのみ、特定の Amazon ECR リソースへの AWS ネットワークアクセスが分離されます。詳細については、「[Amazon ECR インターフェイス VPC エンドポイント (AWS PrivateLink)](vpc-endpoints.md)」を参照してください。
# Amazon ECR インターフェイス VPC エンドポイント (AWS PrivateLink)
インターフェイス VPC エンドポイントを使用するように Amazon ECR を設定することで、VPC のセキュリティ体制を強化できます。VPC エンドポイントは AWS 、プライベート IP アドレス (IPv4 と IPv6 の両方) を介して Amazon ECR API にプライベートにアクセスできるテクノロジーである PrivateLink を利用しています。 APIs IPv4 IPv6 AWS PrivateLink は、VPC と Amazon ECR 間のすべてのネットワークトラフィックを Amazon ネットワークに制限します。インターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイは必要ありません。
AWS PrivateLink と VPC エンドポイントの詳細については、*「Amazon* [VPC ユーザーガイド」の「VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)」を参照してください。
## Amazon ECR VPC エンドポイントに関する考慮事項
Amazon ECR の VPC エンドポイントを設定する前に、以下の考慮事項に注意してください。
+ Amazon EC2 インスタンスでホストされる Amazon ECS タスクで Amazon ECR からプライベートイメージをプルできるようにするには、Amazon ECS 用のインターフェイス VPC エンドポイントを作成します。詳細については、*Amazon Elastic Container Service デベロッパーガイド*の「[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html)」を参照してください。
+ Amazon ECR からコンテナイメージをプルする Fargate でホストされる Amazon ECS タスクでは、条件キーをタスクのタスク実行 IAM ロールに追加することによって、タスクが使用する特定の VPC へのアクセス、およびサービスが使用する VPC エンドポイントへのアクセスを制限することができます。詳細については、*Amazon Elastic Container Service デベロッパーガイド*の「[インターフェイスエンドポイントを介して Amazon ECR をプルする Fargate タスクの最適な IAM アクセス許可](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_execution_IAM_role.html)」を参照してください。
+ VPC エンドポイントにアタッチされたセキュリティグループでは、VPC のプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。
+ Amazon ECR VPC エンドポイントは、デュアルスタック (IPv4 および IPv6) 接続をサポートしています。デュアルスタック VPC エンドポイントを作成すると、IPv4 プライベート IP アドレスと IPv6 プライベート IP アドレスの両方でトラフィックを処理できます。
+ VPC エンドポイントは、米国東部 (バージニア北部) の AWS API SDK エンドポイントを介して Amazon ECR Public リポジトリをサポートします。
+ VPC エンドポイントは、Amazon Route 53 を通じて AWS 提供される DNS のみをサポートします。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、*Amazon VPC ユーザーガイド* の [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) を参照してください。
+ コンテナに Amazon S3 への既存の接続がある場合、Amazon S3 ゲートウェイエンドポイントを追加すると接続が一時的に中断される場合があります。この中断を回避するには、Amazon S3 ゲートウェイエンドポイントを使用する新しい VPC を作成してから、Amazon ECS クラスターとそのコンテナを新しい VPC に移行します。
+ 初めてプルスルーキャッシュルールを使用してイメージをプルするとき、 AWS PrivateLink を使って、インターフェイス VPC エンドポイントを使用するように Amazon ECR を設定した場合、NAT ゲートウェイを使用して、同じ VPC 内にパブリックサブネットを作成し、プルが機能するように、プライベートサブネットから NAT ゲートウェイへのすべてのアウトバウンドトラフィックをインターネットにルーティングする必要があります。その後のイメージプルでは、これは必要ありません。詳細については、*Amazon Virtual Private Cloud ユーザーガイド*の「[シナリオ: プライベートサブネットからインターネットにアクセスする](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#public-nat-internet-access)」を参照してください。
+ FIPS 140-3 検証済み暗号化モジュールを必要とするワークロードの場合、Amazon ECR は VPC エンドポイントの FIPS エンドポイントをサポートします。
### Windows イメージに関する考慮事項
Windows オペレーティングシステムに基づくイメージには、ライセンスによって配布が制限されているアーティファクトが含まれます。デフォルトでは、Windows イメージを Amazon ECR リポジトリにプッシュすると、これらのアーティファクトを含むレイヤーは*外部レイヤー*と見なされるため、プッシュされません。アーティファクトが Microsoft によって提供されている場合、外部レイヤーは Microsoft Azure インフラストラクチャから取得されます。このため、コンテナがこれらの外部レイヤーを Azure からプルできるようにするには、VPC エンドポイントを作成する以外に、追加のステップが必要です。
Docker デーモンの `--allow-nondistributable-artifacts` フラグを使用して、Windowsイメージを Amazon ECR にプッシュするときに、この動作をオーバーライドすることができます。有効にすると、このフラグはライセンスされたレイヤーを Amazon ECR にプッシュします。これにより、Azure への追加アクセスを必要とすることなく、これらのイメージを VPC エンドポイント経由で Amazon ECR からプルすることができます。
**重要**
この `--allow-nondistributable-artifacts` フラグを使用しても、Windows コンテナベースイメージライセンスの条項に従う義務が排除されるわけではありません。したがって、パブリックまたはサードパーティーによる再配布のために Windows コンテンツを投稿することはできません。お客様自身の環境内での使用は許可されています。
Docker インストールでこのフラグを使用できるようにするには、Docker デーモン設定ファイルを変更する必要があります。通常は Docker インストールに応じて、[**Docker エンジン**] セクションの設定または環境設定メニューで設定するか、直接 `C:\ProgramData\docker\config\daemon.json` ファイルを編集できます。
以下に示しているのは、必要な設定の例です。イメージをプッシュするリポジトリ URI に値を置き換えます。
```
{
"allow-nondistributable-artifacts": [
"111122223333.dkr.ecr.us-west-2.amazonaws.com"
]
}
```
Docker デーモン設定ファイルを変更したら、イメージをプッシュする前に Docker デーモンを再起動する必要があります。ベースレイヤーがリポジトリにプッシュされたことを確認して、プッシュが成功したことを確認します。
**注記**
Windows イメージのベースレイヤーは大きくなります。レイヤーサイズにより、プッシュ時間が長くなり、Amazon ECR でのこれらのイメージのストレージコストが増大します。これらの理由から、このオプションは、構築時間と継続的なストレージコストを削減することが厳密に要求される場合にのみ使用することをお勧めします。例えば、`mcr.microsoft.com/windows/servercore` イメージを Amazon ECR で圧縮すると、約 1.7 GiB のサイズになります。
## Amazon ECR の VPC エンドポイントを作成する
Amazon ECR サービスの VPC エンドポイントを作成するには、*Amazon VPC ユーザーガイド*の[インターフェイスエンドポイント作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)の手順を使用します。
Amazon ECR VPC エンドポイントは、デュアルスタック (IPv4 および IPv6) 接続をサポートしています。デュアルスタック VPC エンドポイントを作成すると、IPv4 プライベート IP アドレスと IPv6 プライベート IP アドレスの両方でトラフィックが自動的に処理されます。エンドポイントは、クライアントのネットワーク設定とエンドポイントの機能に基づいて、適切な IP バージョンを使用してトラフィックをルーティングします。
既存の IPv4-only VPC エンドポイントがあり、デュアルスタックエンドポイントに移行する場合は、既存のエンドポイントを変更してデュアルスタック接続をサポートするか、新しいデュアルスタックエンドポイントを作成できます。エンドポイントを作成または変更するときは、VPC とサブネットが使用する IP バージョンをサポートしていることを確認してください。デュアルスタックエンドポイントを作成すると、エンドポイントは IPv4 と IPv6 の両方をサポートします。
Amazon EC2 インスタンスでホストされる Amazon ECS タスクの場合、Amazon ECR エンドポイントと Amazon S3 ゲートウェイエンドポイントの両方が必要です。
プラットフォームバージョン `1.4.0` 以降を使用する Fargate でホストされる Amazon ECS タスクの場合、Amazon ECR VPC エンドポイントと Amazon S3 ゲートウェイエンドポイントの両方が必要です。
プラットフォームバージョン `1.3.0` 以前を使用する Fargate でホストされる Amazon ECS タスクの場合、必要なのは **com.amazonaws.*region*.ecr.dkr** Amazon ECR VPC エンドポイントと Amazon S3 ゲートウェイエンドポイントのみです。
**注記**
エンドポイントが作成される順序は重要ではありません。
**com.amazonaws.*region*.ecr.dkr**
このエンドポイントは、Docker Registry API に使用されます。`push` や `pull` などの Docker クライアントコマンドでは、このエンドポイントが使用されます。
このエンドポイントを作成する際に、プライベート DNS ホスト名を有効にする必要があります。 これを行うには、VPC エンドポイントを作成するときに、Amazon VPC コンソールで [**プライベート DNS 名を有効にする**] オプションが選択されていることを確認します。
FIPS 140-3 準拠の接続の場合は、FIPS エンドポイント名 **com.amazonaws.*region*.ecr-fips.dkr を使用します。**
**com.amazonaws.*region*.ecr.api**
指定された*リージョン*は、米国東部 (オハイオ) リージョンなど、Amazon ECR でサポートされている AWS リージョン`us-east-2`のリージョン識別子を表します。
FIPS 140-3 準拠の接続には、FIPS エンドポイント名 **com.amazonaws.*region*.ecr-fips.dkr** と **com.amazonaws.*region*.ecr-fips.api** を使用します。
このエンドポイントは、Amazon ECR API への呼び出しに使用されます。`DescribeImages` や `CreateRepository` などの API アクションは、このエンドポイントに移動します。
このエンドポイントを作成すると、プライベート DNS ホスト名を有効にするオプションが使用可能になります。VPC エンドポイントの作成時に VPC コンソールで [**プライベート DNS 名を有効にする**] を選択して、この設定名を有効にします。VPC エンドポイントのプライベート DNS ホスト名を有効にする場合は、SDK または を最新バージョン AWS CLI に更新して、SDK または AWS CLI を使用するときにエンドポイント URL を指定する必要はありません。
FIPS 140-3 準拠の接続の場合は、FIPS エンドポイント名 **com.amazonaws.*region*.ecr-fips.api** を使用します。
プライベート DNS ホスト名を有効にし、2019 年 1 月 24 日より前にリリースされた SDK または AWS CLI バージョンを使用している場合は、 `--endpoint-url`パラメータを使用してインターフェイスエンドポイントを指定する必要があります。次の例は、エンドポイント URL の形式を示しています。
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr.region.amazonaws.com
```
VPC エンドポイントでプライベート DNS ホスト名を有効にしない場合は、インターフェイスエンドポイントで VPC エンドポイント ID を指定する `--endpoint-url` パラメータを使用する必要があります。次の例は、エンドポイント URL の形式を示しています。
```
aws ecr create-repository --repository-name name --endpoint-url https://VPC_endpoint_ID.api.ecr.region.vpce.amazonaws.com
```
FIPS 140-3 準拠の接続の場合は、FIPS エンドポイント URL を使用します。
```
aws ecr create-repository --repository-name name --endpoint-url https://api.ecr-fips.region.amazonaws.com
```
## Amazon S3 ゲートウェイエンドポイントを作成する
Amazon ECS タスクで Amazon ECR からプライベートイメージをプルするには、Amazon S3 のゲートウェイエンドポイントを作成する必要があります。Amazon ECR は Amazon S3 を使用してイメージレイヤーを保存するため、ゲートウェイエンドポイントが必要です。Amazon ECR からイメージをダウンロードするコンテナは、Amazon ECR にアクセスしてイメージマニフェストを取得してから Amazon S3 にアクセスして実際のイメージレイヤーをダウンロードする必要があります。 各 Docker イメージのレイヤーを含む Amazon S3 バケットの Amazon リソースネーム (ARN) を以下に示します。
```
arn:aws:s3:::prod-region-starport-layer-bucket/*
```
**注記**
Amazon ECR のデュアルスタック VPC エンドポイントを作成する場合は、デュアルスタックの Amazon S3 Gateway またはインターフェイスエンドポイントも作成する必要があります。詳細については、[S3 ドキュメント](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#privatelink-ip-address-types)を参照してください。
Amazon ECR に以下の Amazon S3 ゲートウェイエンドポイントを作成するには、*Amazon VPC ユーザーガイド*の[ゲートウェイエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#create-gateway-endpoint)手順を使用します。エンドポイントを作成するときは、必ず VPC のルートテーブルを選択してください。
**com.amazonaws.*region*.s3**
Amazon S3 ゲートウェイエンドポイントは IAM ポリシードキュメントを使用してサービスへのアクセスを制限します。 このポリシーには、タスクの IAM ロールまたはその他の IAM ユーザーポリシーに設定された制限が引き続き優先して適用されるので、**フルアクセス**ポリシーを使用できます。Amazon S3 バケットアクセスを Amazon ECR を使用するための最小限のアクセス許可に制限する場合は、「[Amazon ECR の最小 Amazon S3 バケットアクセス許可](#ecr-minimum-s3-perms)」を参照してください。
### Amazon ECR の最小 Amazon S3 バケットアクセス許可
Amazon S3 ゲートウェイエンドポイントは IAM ポリシードキュメントを使用してサービスへのアクセスを制限します。 Amazon ECR に最低限の Amazon S3 バケットアクセス許可のみを許可するには、エンドポイントの IAM ポリシードキュメントを作成するときに Amazon ECR が使用する Amazon S3 バケットへのアクセスを制限します。
次の表は、Amazon ECR に必要な Amazon S3 バケットポリシーアクセス許可を示しています。
| アクセス許可 | 説明 |
| --- | --- |
| `arn:aws:s3:::prod-region-starport-layer-bucket/*` | 各 Docker イメージのレイヤーを含む Amazon S3 バケットへのアクセスを提供します。米国東部 (オハイオ) リージョンの `us-east-2` のように、Amazon ECR でサポートされている AWS リージョンのリージョン識別子を表します。 |
#### 例
以下の例は、Amazon ECR オペレーションに必要な Amazon S3 バケットへのアクセスを提供する方法を示しています。
```
{
"Statement": [
{
"Sid": "Access-to-specific-bucket-only",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
}
]
}
```
## CloudWatch Logs エンドポイントを作成する
Fargate 起動タイプを使用し、インターネットゲートウェイなしで VPC を使用する一方で、`awslogs` ログドライバーを使用してログ情報を CloudWatch に送信する Amazon ECS タスクの場合、CloudWatch Logs の **com.amazonaws.*region*.logs** インターフェイス VVPC エンドポイントを作成する必要があります。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の「[インターフェイス VPC エンドポイントでの CloudWatch Logs の使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html)」を参照してください。
## Amazon ECR VPC エンドポイントのエンドポイントポリシーを作成する
VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントに加える国際機械技術者協会 (IAM) のリソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、 はサービスへのフルアクセスを許可するデフォルトのポリシーをア AWS タッチします。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。評価項目のポリシーは、JSON形式で記載する必要があります。詳細については、「*Amazon VPCユーザーガイド*」の「[VPC評価項目によるサービスのアクセス制御](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
1 つの IAM リソースポリシーを作成し、両方の Amazon ECR VPC エンドポイントにアタッチすることをお勧めします。
Amazon ECR API のエンドポイントポリシーの例を次に示します。このポリシーは、特定の IAM ロールが Amazon ECR からイメージをプルできるようにします。
```
{
"Statement": [{
"Sid": "AllowPull",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
次のエンドポイントポリシーの例では、指定されたリポジトリが削除されないようにしています。
```
{
"Statement": [{
"Sid": "AllowAll",
"Principal": "*",
"Action": "*",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Effect": "Deny",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
}
]
}
```
次のエンドポイントポリシーの例では、前述の 2 つの例を 1 つのポリシーにまとめています。
```
{
"Statement": [{
"Sid": "AllowAll",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
},
{
"Sid": "PreventDelete",
"Effect": "Deny",
"Principal": "*",
"Action": "ecr:DeleteRepository",
"Resource": "arn:aws:ecr:region:1234567890:repository/repository_name"
},
{
"Sid": "AllowPull",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::1234567890:role/role_name"
},
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
}
]
}
```
**Amazon ECR の VPC エンドポイントポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. Amazon ECR の VPC エンドポイントをまだ作成していない場合は、「[Amazon ECR の VPC エンドポイントを作成する](#ecr-setting-up-vpc-create)」を参照してください。
1. ポリシーを追加する Amazon ECR VPC エンドポイントを選択し、画面の下部にある [**ポリシー**] タブを選択します。
1. [**ポリシーの編集**] を選択してポリシーを変更します。
1. [**保存**] を選択してポリシーを保存します。
## 共有サブネット
自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。
# サービス間での不分別な代理処理の防止
混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシー内では [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) または [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) のグローバル条件コンテキストキーを使用して、Amazon ECR が別のサービスに付与する、リソースへのアクセス許可を制限することをお勧めします。クロスサービスアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、`aws:SourceAccount` を使用します。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して、`aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:servicename:region:123456789012:*`。
`aws:SourceArn` の値に Amazon S3 バケット ARN などのアカウント ID が含まれていない場合は、両方のグローバル条件コンテキストキーを使用して、アクセス許可を制限する必要があります。
`aws:SourceArn` の値は ResourceDescription である必要があります。
次の例は、Amazon ECR リポジトリポリシーで `aws:SourceArn`および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、そのサービスとの統合に必要な Amazon ECR API アクション AWS CodeBuild へのアクセスを許可し、混乱した代理問題を防ぐ方法を示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CodeBuildAccess",
"Effect":"Allow",
"Principal":{
"Service":"codebuild.amazonaws.com"
},
"Action":[
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*",
"Condition":{
"ArnLike":{
"aws:SourceArn":"arn:aws:codebuild:us-east-1:123456789012:project/project-name"
},
"StringEquals":{
"aws:SourceAccount":"123456789012"
}
}
}
]
}
```
------