AWS verwaltete Richtlinien für Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Elastic Container Registry

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Amazon ECR bietet mehrere verwaltete Richtlinien, die Sie an IAM-Identitäten oder Amazon-Instances anhängen können. EC2 Diese verwalteten Richtlinien ermöglichen unterschiedliche Kontrollstufen für den Zugriff auf Amazon ECR-Ressourcen und API-Operationen. Weitere Informationen zu jedem in diesen Richtlinien erwähnten API-Vorgang finden Sie unter Aktionen in der Amazon Elastic Container Registry API-Referenz.

AmazonEC2ContainerRegistryFullAccess

Sie können die AmazonEC2ContainerRegistryFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Sie können diese verwaltete Richtlinie als Ausgangspunkt verwenden, um Ihre eigene IAM-Richtlinie auf der Grundlage Ihrer spezifischen Anforderungen zu erstellen. Sie können beispielsweise eine Richtlinie erstellen, die einem Benutzer oder einer Rolle vollen Administratorzugriff gewährt, um die Verwendung von Amazon ECR zu verwalten. Mit der Feature Amazon-ECR-Lebenszyklusrichtlinie können Sie das Lebenszyklusmanagement von Images in einem Repository festlegen. Ereignisse im Rahmen von Lebenszyklusrichtlinien werden als CloudTrail Ereignisse gemeldet. Amazon ECR ist integriert, AWS CloudTrail sodass Ihre Lifecycle-Policy-Ereignisse direkt in der Amazon ECR-Konsole angezeigt werden können. Die AmazonEC2ContainerRegistryFullAccess-verwaltete IAM-Richtlinie enthält die cloudtrail:LookupEvents-Berechtigung, um dieses Verhalten zu erleichtern.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ecr— Ermöglicht Principals vollen Zugriff auf alle Amazon APIs ECR.

  • cloudtrail— Ermöglicht Prinzipalen, nach Verwaltungsereignissen oder AWS CloudTrail Insights-Ereignissen zu suchen, die von erfasst wurden. CloudTrail

DieAmazonEC2ContainerRegistryFullAccess Politik ist wie folgt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Sie können die AmazonEC2ContainerRegistryPowerUser-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt administrative Berechtigungen, die es IAM-Benutzern erlauben, Repositorys zu lesen und zu schreiben, aber sie erlaubt ihnen nicht, Repositorys zu löschen oder die auf sie angewandten Richtliniendokumente zu ändern.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ecr— Ermöglicht Prinzipalen das Lesen und Schreiben in Repositorys sowie das Lesen von Lebenszyklusrichtlinien. Auftraggeber sind nicht berechtigt, Repositorys zu löschen oder die auf sie angewandten Lebenszyklusrichtlinien zu ändern.

Die AmazonEC2ContainerRegistryPowerUserPolitik ist wie folgt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

Sie können die AmazonEC2ContainerRegistryPullOnly-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie erteilt die Erlaubnis, Container-Images aus Amazon ECR abzurufen. Wenn die Registrierung für den Pull-Through-Cache aktiviert ist, ermöglicht sie auch Pulls, um ein Bild aus einer Upstream-Registrierung zu importieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ecr – Ermöglicht Auftraggebern das Lesen von Repositorys und deren jeweiligen Lebenszyklusrichtlinien.

DieAmazonEC2ContainerRegistryPullOnly Politik ist wie folgt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Sie können die AmazonEC2ContainerRegistryReadOnly-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Amazon ECR nur Leseberechtigungen. Dazu gehört auch die Möglichkeit, Repositorys und Images innerhalb der Repositories aufzulisten. Es beinhaltet auch die Möglichkeit, Images von Amazon ECR mit der Docker CLI zu ziehen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ecr – Ermöglicht Auftraggebern das Lesen von Repositorys und deren jeweiligen Lebenszyklusrichtlinien.

Die AmazonEC2ContainerRegistryReadOnlyPolitik ist wie folgt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Sie können die verwaltete AWSECRPullThroughCache_ServiceRolePolicy-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist an eine dienstbezogene Rolle angehängt, die es Amazon ECR ermöglicht, Images durch den Pull-Through-Cache-Workflow an Ihre Repositorys zu übertragen. Weitere Informationen finden Sie unter Serviceverknüpfte Amazon-ECR-Rolle für Pull-Through-Cache.

ECRReplicationServiceRolePolicy

Sie können die verwaltete ECRReplicationServiceRolePolicy-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon ECR ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwendung von dienstgebundenen Rollen für Amazon ECR.

ECRTemplateServiceRolePolicy

Sie können die verwaltete ECRTemplateServiceRolePolicy-IAM-Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon ECR ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwendung von dienstgebundenen Rollen für Amazon ECR.

Amazon ECR-Updates für AWS verwaltete Richtlinien

Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon ECR seit Beginn der Nachverfolgung dieser Änderungen durch diesen Service. Um automatisch über Änderungen auf dieser Seite informiert zu werden, abonnieren Sie den RSS-Feed auf der Seite Amazon ECR Document history.

Änderung Beschreibung Datum

Amazon EC2 ContainerRegistryPullOnly — Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt, die Amazon ECR nur Pull-Berechtigungen gewährt.

 10. Oktober 2024

ECRTemplateServiceRolePolicy – Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie ist mit der ECRTemplateServiceRolePolicy serviceverknüpften Rolle für die Funktion „Vorlage zur Erstellung von Repositorys“ verknüpft.

 20. Juni 2024

AWSECRPullThroughCache_ServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

Amazon ECR hat der AWSECRPullThroughCache_ServiceRolePolicy-Richtlinie neue Berechtigungen hinzugefügt. Diese Berechtigungen ermöglichen Amazon ECR, den verschlüsselten Inhalt eines Secrets-Manager-Secrets abzurufen. Dies ist erforderlich, wenn eine Pull-Through-Cache-Regel verwendet wird, um Images aus einer Upstream-Registrierung zwischenzuspeichern, für das eine Authentifizierung erforderlich ist.

 15. November 2023

AWSECRPullThroughCache_ServiceRolePolicy – Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie wird mit der AWSServiceRoleForECRPullThroughCache-Serviceverknüpfte Rolle für das Pull-Through-Cache-Feature zugeordnet.

 29. November 2021

ECRReplicationServiceRolePolicy – Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie wird mit der AWSServiceRoleForECRReplication-Serviceverknüpfte Rolle für das Replikations-Feature zugeordnet.

 4. Dezember 2020

Amazon EC2 ContainerRegistryFullAccess — Aktualisierung einer bestehenden Richtlinie

Amazon ECR hat der AmazonEC2ContainerRegistryFullAccess-Richtlinie neue Berechtigungen hinzugefügt. Diese Berechtigungen erlauben es Prinzipalen, die serviceverknüpfte Amazon ECR-Rolle zu erstellen.

 4. Dezember 2020

Amazon EC2 ContainerRegistryReadOnly — Aktualisierung einer bestehenden Richtlinie

Amazon ECR fügte der Richtlinie neue Berechtigungen hinzu, AmazonEC2ContainerRegistryReadOnly die es den Auftraggebern ermöglichen, Lebenszyklusrichtlinien zu lesen, Tags aufzulisten und die Scanergebnisse für Images zu beschreiben.

 10. Dezember 2019

Amazon EC2 ContainerRegistryPowerUser — Aktualisierung einer bestehenden Richtlinie

Amazon ECR hat der AmazonEC2ContainerRegistryPowerUser-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Lebenszyklusrichtlinien zu lesen, Tags aufzulisten und die Scanergebnisse für Images zu beschreiben.

 10. Dezember 2019

Amazon EC2 ContainerRegistryFullAccess — Aktualisierung einer bestehenden Richtlinie

Amazon ECR hat der AmazonEC2ContainerRegistryFullAccess-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Schulleitern, nach Verwaltungsereignissen oder AWS CloudTrail Insights-Ereignissen zu suchen, die von CloudTrail erfasst wurden.

 10. November 2017

Amazon EC2 ContainerRegistryReadOnly — Aktualisierung einer bestehenden Richtlinie

Amazon ECR hat der AmazonEC2ContainerRegistryReadOnly-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Amazon-ECR-Images zu beschreiben.

 11. Oktober 2016

Amazon EC2 ContainerRegistryPowerUser — Aktualisierung einer bestehenden Richtlinie

Amazon ECR hat der AmazonEC2ContainerRegistryPowerUser-Richtlinie neue Berechtigungen hinzugefügt. Sie ermöglichen es den Auftraggebern, Amazon-ECR-Images zu beschreiben.

 11. Oktober 2016

Amazon EC2 ContainerRegistryReadOnly — Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt, die Amazon ECR Nur-Lese-Berechtigungen gewährt. Diese Berechtigungen umfassen die Möglichkeit, Repositories und Images innerhalb der Repositories aufzulisten. Sie umfassen auch die Möglichkeit, mit der Docker-CLI Images aus Amazon ECR zu ziehen.

 21. Dezember 2015

Amazon EC2 ContainerRegistryPowerUser — Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt, die Administratorberechtigungen gewährt. Dadurch können Benutzer Repositorys lesen und darauf schreiben, aber sie können keine Repositorys löschen oder die auf sie angewandten Richtliniendokumente ändern.

 21. Dezember 2015

Amazon EC2 ContainerRegistryFullAccess — Neue Richtlinie

Amazon ECR hat eine neue Richtlinie hinzugefügt. Diese Richtlinie gewährt vollen Zugang zu Amazon ECR.

 21. Dezember 2015

Amazon ECR begann mit der Verfolgung von Änderungen

Amazon ECR hat damit begonnen, Änderungen für AWS verwaltete Richtlinien nachzuverfolgen.

 24. Juni 2021