本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将映像推送至 Amazon ECR 私有存储库的 IAM 权限
<a name="image-push-iam"></a>

用户需要将映像推送至 Amazon ECR 私有存储库的 IAM 权限。按照授予最低权限的最佳实践，您可以授予对特定存储库的访问权限。您还可以授予对所有存储库的访问权限。

用户必须通过请求授权令牌，向其推送镜像的每个 Amazon ECR 注册表进行身份验证。Amazon ECR 提供了多种 AWS 托管策略来控制不同级别的用户访问权限。有关更多信息，请参阅 [AWS Amazon 弹性容器注册表的托管策略](security-iam-awsmanpol.md)。

您还可以创建自己的 IAM 策略。以下 IAM 策略授予将映像推送到特定存储库所需的权限。要限制特定存储库的权限，请使用存储库的完整 Amazon 资源名称 (ARN)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage",
                "ecr:BatchGetImage"
            ],
            "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repository-name"
        },
        {
            "Effect": "Allow",
            "Action": "ecr:GetAuthorizationToken",
            "Resource": "*"
        }
    ]
}
```

------

以下 IAM 策略授予将映像推送到所有存储库所需的权限。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ecr:CompleteLayerUpload",
                    "ecr:GetAuthorizationToken",
                    "ecr:UploadLayerPart",
                    "ecr:InitiateLayerUpload",
                    "ecr:BatchCheckLayerAvailability",
                    "ecr:PutImage",
                    "ecr:BatchGetImage"
            ],
            "Resource": "arn:aws:ecr:us-west-2:111122223333:repository/*"
        } 
    ]
}
```