本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon Elastic Container Registry 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

Amazon ECR 提供數個受管政策，您可以連接到 IAM 身分或 Amazon EC2 執行個體。這些受管政策允許對 Amazon ECR 資源和 API 操作的存取進行不同層級的控制。如需這些政策中所提及之各 API 操作的詳細資訊，請參閱 *Amazon Elastic Container Registry API 參考*中的 [Actions](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_Operations.html) (動作)。

**Topics**
+ [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)
+ [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)
+ [AmazonEC2ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)
+ [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)
+ [`AWSECRPullThroughCache_ServiceRolePolicy`](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)
+ [`ECRReplicationServiceRolePolicy`](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)
+ [`ECRTemplateServiceRolePolicy`](#security-iam-awsmanpol-ECRTemplateServiceRolePolicy)
+ [AWS 受管政策的 Amazon ECR 更新](#security-iam-awsmanpol-updates)

## AmazonEC2ContainerRegistryFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess"></a>

您可將 `AmazonEC2ContainerRegistryFullAccess` 政策連接到 IAM 身分。此政策會授予 Amazon ECR 資源的管理存取權，並授予 IAM 身分 （例如使用者、群組或角色） 存取權給與 Amazon ECR 整合 AWS 的服務，以使用所有 Amazon ECR 功能。使用此政策允許存取 中提供的所有 Amazon ECR 功能 AWS 管理主控台。

若要檢視此政策的許可，請參閱《 *AWS 受管政策參考*》中的 [AmazonEC2ContainerRegistryFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryFullAccess.html)。

## AmazonEC2ContainerRegistryPowerUser
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser"></a>

您可將 `AmazonEC2ContainerRegistryPowerUser` 政策連接到 IAM 身分。此政策授予管理許可，允許 IAM 使用者讀取和寫入儲存庫，但不允許他們刪除儲存庫或變更套用於他們的政策文件。

若要檢視此政策的許可，請參閱《 *AWS 受管政策參考*》中的 [AmazonEC2ContainerRegistryPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPowerUser.html)。

## AmazonEC2ContainerRegistryPullOnly
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly"></a>

您可將 `AmazonEC2ContainerRegistryPullOnly` 政策連接到 IAM 身分。此政策授予從 Amazon ECR 提取容器映像的許可。如果登錄檔已啟用提取快取，它也會允許提取從上游登錄檔匯入映像。

若要檢視此政策的許可，請參閱《 *AWS 受管政策參考*》中的 [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)。

## AmazonEC2ContainerRegistryReadOnly
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly"></a>

您可將 `AmazonEC2ContainerRegistryReadOnly` 政策連接到 IAM 身分。此政策向 Amazon ECR 授予唯讀許可。這包括在儲存庫中列出儲存庫和映像的功能。它還包括使用 Docker CLI 從 Amazon ECR 提取映像的能力。

若要檢視此政策的許可，請參閱《 *AWS 受管政策參考*》中的 [AmazonEC2ContainerRegistryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryReadOnly.html)。

## `AWSECRPullThroughCache_ServiceRolePolicy`
<a name="security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy"></a>

您無法將 `AWSECRPullThroughCache_ServiceRolePolicy` 受管 IAM 政策連接至 IAM 實體。此政策會連接至服務連結角色，可讓 Amazon ECR 透過提取快取工作流程將映像推送到儲存庫。如需詳細資訊，請參閱[用於提取快取的 Amazon ECR 服務連結角色](slr-pullthroughcache.md)。

## `ECRReplicationServiceRolePolicy`
<a name="security-iam-awsmanpol-ECRReplicationServiceRolePolicy"></a>

您無法將 `ECRReplicationServiceRolePolicy` 受管 IAM 政策連接至 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon ECR 代表您執行動作。如需詳細資訊，請參閱[使用 Amazon ECR 的服務連結角色](using-service-linked-roles.md)。

## `ECRTemplateServiceRolePolicy`
<a name="security-iam-awsmanpol-ECRTemplateServiceRolePolicy"></a>

您無法將 `ECRTemplateServiceRolePolicy` 受管 IAM 政策連接至 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon ECR 代表您執行動作。如需詳細資訊，請參閱[使用 Amazon ECR 的服務連結角色](using-service-linked-roles.md)。

## AWS 受管政策的 Amazon ECR 更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤 Amazon ECR AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 Amazon ECR 文件歷史記錄頁面上的 RSS 摘要。

 


| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  [用於提取快取的 Amazon ECR 服務連結角色](slr-pullthroughcache.md) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AWSECRPullThroughCache_ServiceRolePolicy` 政策。這些許可允許 Amazon ECR 從 ECR 私有登錄檔提取映像。使用提取快取規則從另一個 Amazon ECR 私有登錄檔快取映像時，這是必要的。  | 2025 年 3 月 12 日 | 
|  [AmazonEC2ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) – 新政策  |  Amazon ECR 新增了一項新政策，將僅提取許可授予 Amazon ECR。  | 2024 年 10 月 10 日 | 
|  [ECRTemplateServiceRolePolicy](slr-rct.md) – 新政策  |  Amazon ECR 已新增新政策。此政策與儲存庫建立範本功能`ECRTemplateServiceRolePolicy`的服務連結角色相關聯。  | 2024 年 6 月 20 日 | 
|  [AWSECRPullThroughCache\$1ServiceRolePolicy](slr-pullthroughcache.md) – 更新至現有政策  |  Amazon ECR 將新的許可新增到 `AWSECRPullThroughCache_ServiceRolePolicy` 政策。這些許可允許 Amazon ECR 擷取 Secrets Manager 秘密的加密內容。這在使用提取快取規則從需要驗證的上游登錄檔快取映像時是必要的。  | 2023 年 11 月 15 日 | 
|  [AWSECRPullThroughCache\$1ServiceRolePolicy](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)：全新政策  |  Amazon ECR 已新增新政策。此政策與提取快取功能的 `AWSServiceRoleForECRPullThroughCache` 服務連結角色相關聯。  | 2021 年 11 月 29 日 | 
|  [ECRReplicationServiceRolePolicy](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)：全新政策  |  Amazon ECR 已新增新政策。此政策與複寫功能的 `AWSServiceRoleForECRReplication` 服務連結角色相關聯。  | 2020 年 12 月 4 日 | 
|  [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryFullAccess` 政策。這些許可允許委託人建立 Amazon ECR 服務連結角色。  | 2020 年 12 月 4 日 | 
|  [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryReadOnly` 政策，允許委託人讀取生命週期政策、列出標籤，以及描述映像的掃描問題清單。  | 2019 年 12 月 10 日 | 
|  [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryPowerUser` 政策。它們允許委託人讀取生命週期政策、列出標籤，以及描述映像的掃描問題清單。  | 2019 年 12 月 10 日 | 
|  [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryFullAccess` 政策。它們允許主體查詢 CloudTrail 擷取的管理事件或 AWS CloudTrail Insights 事件。  | 2017 年 11 月 10 日 | 
|  [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryReadOnly` 政策。他們允許委託人描述 Amazon ECR 映像。  | 2016 年 10 月 11 日 | 
|  [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) – 更新現有政策  |  Amazon ECR 將新的許可新增到 `AmazonEC2ContainerRegistryPowerUser` 政策。他們允許委託人描述 Amazon ECR 映像。  | 2016 年 10 月 11 日 | 
|  [AmazonEC2ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly) – 新政策  |  Amazon ECR 新增了將唯讀許可授予 Amazon ECR 的新政策。這些許可包括在儲存庫中列出儲存庫和映像的功能。它們還包括使用 Docker CLI 從 Amazon ECR 提取映像的能力。  | 2015 年 12 月 21 日 | 
|  [AmazonEC2ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser) – 新政策  |  Amazon ECR 新增了新的政策，授予管理許可，允許使用者讀取和寫入儲存庫，但不允許他們刪除儲存庫或變更套用的政策文件。  | 2015 年 12 月 21 日 | 
|  [AmazonEC2ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess) – 新政策  |  Amazon ECR 已新增新政策。此政策授予 Amazon ECR 的完整存取權限。  | 2015 年 12 月 21 日 | 
|  Amazon ECR 開始追蹤變更  |  Amazon ECR 開始追蹤 AWS 受管政策的變更。  | 2021 年 6 月 24 日 |