將映像推送至 Amazon ECR 私有儲存庫的 IAM 許可 - Amazon ECR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將映像推送至 Amazon ECR 私有儲存庫的 IAM 許可

使用者需要 IAM 許可,才能將映像推送至 Amazon ECR 私有儲存庫。遵循授予最低權限的最佳實務,您可以授予特定儲存庫的存取權。您也可以授予所有儲存庫的存取權。

使用者必須透過請求授權字符,向他們想要推送映像的每個 Amazon ECR 登錄檔進行身分驗證。Amazon ECR 提供多種 AWS 受管政策,以控制不同層級的使用者存取。如需詳細資訊,請參閱AWS Amazon Elastic Container Registry 的 受管政策

您也可以建立自己的 IAM 政策。下列 IAM 政策會授予將映像推送至特定儲存庫所需的許可。若要限制特定儲存庫的許可,請使用儲存庫的完整 Amazon Resource Name (ARN)。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage",
                "ecr:BatchGetImage"
            ],
            "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repository-name"
        },
        {
            "Effect": "Allow",
            "Action": "ecr:GetAuthorizationToken",
            "Resource": "*"
        }
    ]
}

下列 IAM 政策會授予將映像推送至所有儲存庫的必要許可。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
             "Resource": "arn:aws:ecr:us-west-2:111122223333:repository/*"
        }
    ]
}