本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECR 的私有登錄檔政策範例
以下範例顯示您可以用來控制使用者具有之 Amazon ECR 登錄檔許可的登錄檔許可政策陳述式。
在每個範例中,如果從登錄檔政策中移除ecr:CreateRepository動作,則仍可進行複寫。但是,為了成功複寫,您需要在帳戶中建立具有相同名稱的儲存庫。
範例:允許來源帳戶中的所有 IAM 主體複寫所有儲存庫
下列登錄檔許可政策允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫所有儲存庫。
注意下列事項:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
範例:允許來自多個帳戶的 IAM 主體
下列登錄檔許可政策有兩個陳述式。每個陳述式都允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫所有儲存庫。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount1",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
},
{
"Sid":"ReplicationAccessCrossAccount2",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::444455556666:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
}
]
}
範例:允許來源帳戶中的所有 IAM 主體複寫字首為 的所有儲存庫 prod-。
下列登錄檔許可政策允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫以 開頭的所有儲存庫 prod-。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
]
}
]
}
