本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Elastic Container Registry 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
Amazon ECR 提供數個受管政策,您可以連接到 IAM 身分或 Amazon EC2 執行個體。這些受管政策允許對 Amazon ECR 資源和 API 操作的存取進行不同層級的控制。如需這些政策中所提及之各 API 操作的詳細資訊,請參閱 Amazon Elastic Container Registry API 參考中的 Actions (動作)。
主題
AmazonEC2ContainerRegistryFullAccess
您可將 AmazonEC2ContainerRegistryFullAccess 政策連接到 IAM 身分。
您可以使用此受管政策作為根據您特定需求建立您自己 IAM 政策的起點。例如,您可以建立專門為使用者或角色提供完全管理員存取權限的政策,以管理對 Amazon ECR 的使用。藉由 Amazon ECR 生命週期政策功能,您可以在儲存庫中指定映像的生命週期管理。生命週期政策事件會報告為 CloudTrail 事件。Amazon ECR 已與 整合, AWS CloudTrail 因此可以直接在 Amazon ECR 主控台中顯示生命週期政策事件。AmazonEC2ContainerRegistryFullAccess 受管 IAM 政策包括促進此行為的 cloudtrail:LookupEvents 許可。
許可詳細資訊
此政策包含以下許可:
-
ecr– 允許委託人完整存取所有 Amazon ECR API。 -
cloudtrail– 允許主體查詢 CloudTrail 擷取的管理事件或 AWS CloudTrail Insights 事件。
AmazonEC2ContainerRegistryFullAccess 政策如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }
AmazonEC2ContainerRegistryPowerUser
您可將 AmazonEC2ContainerRegistryPowerUser 政策連接到 IAM 身分。
此政策授予管理許可,允許 IAM 使用者讀取和寫入儲存庫,但不允許他們刪除儲存庫或變更套用於他們的政策文件。
許可詳細資訊
此政策包含以下許可:
-
ecr– 允許主體讀取和寫入儲存庫,以及讀取生命週期政策。委託人不會被授予刪除儲存庫或變更套用至其生命週期政策的許可。
AmazonEC2ContainerRegistryPowerUser 政策如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryPullOnly
您可將 AmazonEC2ContainerRegistryPullOnly 政策連接到 IAM 身分。
此政策授予從 Amazon ECR 提取容器映像的許可。如果登錄檔已啟用提取快取,它也會允許提取檔從上游登錄檔匯入映像。
許可詳細資訊
此政策包含以下許可:
-
ecr– 允許委託人讀取儲存庫及其各自的生命週期政策。
AmazonEC2ContainerRegistryPullOnly 政策如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryReadOnly
您可將 AmazonEC2ContainerRegistryReadOnly 政策連接到 IAM 身分。
此政策向 Amazon ECR 授予唯讀許可。這包括在儲存庫中列出儲存庫和映像的功能。它還包括使用 Docker CLI 從 Amazon ECR 提取映像的能力。
許可詳細資訊
此政策包含以下許可:
-
ecr– 允許委託人讀取儲存庫及其各自的生命週期政策。
AmazonEC2ContainerRegistryReadOnly 政策如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }
AWSECRPullThroughCache_ServiceRolePolicy
您無法將 AWSECRPullThroughCache_ServiceRolePolicy 受管 IAM 政策連接至 IAM 實體。此政策會連接至服務連結角色,可讓 Amazon ECR 透過提取快取工作流程將映像推送到儲存庫。如需詳細資訊,請參閱用於提取快取的 Amazon ECR 服務連結角色。
ECRReplicationServiceRolePolicy
您無法將 ECRReplicationServiceRolePolicy 受管 IAM 政策連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon ECR 代表您執行動作。如需詳細資訊,請參閱使用 Amazon ECR 的服務連結角色。
ECRTemplateServiceRolePolicy
您無法將 ECRTemplateServiceRolePolicy 受管 IAM 政策連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon ECR 代表您執行動作。如需詳細資訊,請參閱使用 Amazon ECR 的服務連結角色。
AWS 受管政策的 Amazon ECR 更新
檢視自此服務開始追蹤 Amazon ECR AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon ECR 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
用於提取快取的 Amazon ECR 服務連結角色 – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2025 年 3 月 12 日 |
|
Amazon ECR 新增了新的政策,將僅限提取許可授予 Amazon ECR。 |
2024 年 10 月 10 日 | |
|
Amazon ECR 已新增新政策。此政策與儲存庫建立範本功能 |
2024 年 6 月 20 日 | |
|
AWSECRPullThroughCache_ServiceRolePolicy – 更新至現有政策 |
Amazon ECR 將新的許可新增到 |
2023 年 11 月 15 日 |
|
Amazon ECR 已新增新政策。此政策與提取快取功能的 |
2021 年 11 月 29 日 | |
|
Amazon ECR 已新增新政策。此政策與複寫功能的 |
2020 年 12 月 4 日 | |
|
AmazonEC2ContainerRegistryFullAccess – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2020 年 12 月 4 日 |
|
AmazonEC2ContainerRegistryReadOnly – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2019 年 12 月 10 日 |
|
AmazonEC2ContainerRegistryPowerUser – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2019 年 12 月 10 日 |
|
AmazonEC2ContainerRegistryFullAccess – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2017 年 11 月 10 日 |
|
AmazonEC2ContainerRegistryReadOnly – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2016 年 10 月 11 日 |
|
AmazonEC2ContainerRegistryPowerUser – 更新現有政策 |
Amazon ECR 將新的許可新增到 |
2016 年 10 月 11 日 |
|
Amazon ECR 新增了將唯讀許可授予 Amazon ECR 的新政策。這些許可包括在儲存庫中列出儲存庫和映像的功能。它們還包括使用 Docker CLI 從 Amazon ECR 提取映像的能力。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 新增了新的政策,授予管理許可,允許使用者讀取和寫入儲存庫,但不允許他們刪除儲存庫或變更套用的政策文件。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 已新增新政策。此政策授予 Amazon ECR 的完整存取權限。 |
2015 年 12 月 21 日 | |
|
Amazon ECR 開始追蹤變更 |
Amazon ECR 開始追蹤 AWS 受管政策的變更。 |
2021 年 6 月 24 日 |
