本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon ECR 的私有登錄檔政策範例
以下範例顯示您可以用來控制使用者具有之 Amazon ECR 登錄檔許可的登錄檔許可政策陳述式。
**注意**
在每個範例中,如果從登錄檔政策中移除 `ecr:CreateRepository`動作,則仍可進行複寫。但是,為了成功複寫,您需要在帳戶中建立具有相同名稱的儲存庫。
## 範例:允許來源帳戶中的所有 IAM 主體複寫所有儲存庫
下列登錄檔許可政策允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫所有儲存庫。
注意下列事項:
+ **重要:**當您在政策中將 AWS 帳戶 ID 指定為委託人時,您可以將存取權授予該帳戶中的所有 IAM 使用者和角色,而不只是根使用者。這可在整個帳戶中提供廣泛的存取。
+ **安全考量:**帳戶層級許可授予指定帳戶中所有 IAM 實體的存取權。如需更嚴格的存取,請指定個別 IAM 使用者、角色,或使用條件陳述式進一步限制存取。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{111122223333}}:{{root}}"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:{{444455556666}}:repository/{{*}}"
]
}
]
}
```
------
## 範例:允許來自多個帳戶的 IAM 主體
下列登錄檔許可政策有兩個陳述式。每個陳述式都允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫所有儲存庫。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount1",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{111122223333}}:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:{{123456789012}}:repository/*"
]
},
{
"Sid":"ReplicationAccessCrossAccount2",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{444455556666}}:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:{{123456789012}}:repository/*"
]
}
]
}
```
------
## 範例:允許來源帳戶中的所有 IAM 主體複寫字首為 的所有儲存庫`prod-`。
下列登錄檔許可政策允許來源帳戶中的所有 IAM 主體 (使用者和角色) 複寫以 開頭的所有儲存庫` prod-`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{111122223333}}:{{root}}"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:{{444455556666}}:repository/{{prod-*}}"
]
}
]
}
```
------