As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar controle de acesso baseado em tags
A ação da CreateRepository API do Amazon ECR permite que você especifique tags ao criar o repositório. Para obter mais informações, consulte Marcar um repositório privado no Amazon ECR.
Para permitir que os usuários marquem repositórios na criação, eles devem ter permissões para usar a ação que cria o recurso (por exemplo, ecr:CreateRepository). Se as tags forem especificadas na ação resource-creating, a Amazon executará autorização adicional na ação ecr:CreateRepository para verificar se os usuários têm permissões para criar tags.
É possível usar controle de acesso baseado em tags por meio de políticas do IAM. Veja os exemplos a seguir.
A política a seguir só permitiria que um usuário criasse ou marcasse um repositório como key=environment,value=dev.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedRepository", "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } }, { "Sid": "AllowTagRepository", "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } } ] }
A política a seguir permitiria que um usuário extraísse imagens de todos os repositórios, a menos que elas fossem marcadas comokey=environment,value=prod.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*", "Condition": { "StringEquals": { "ecr:ResourceTag/environment": "prod" } } } ] }
