Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert Amazon Elastic Container Registry mit IAM
Bevor Sie IAM den Zugriff auf Amazon verwaltenECR, sollten Sie wissen, welche IAM Funktionen für Amazon verfügbar sindECR. Einen allgemeinen Überblick darüber, wie Amazon ECR und andere AWS Dienste zusammenarbeitenIAM, finden Sie unter AWS Services That Work with IAM im IAMBenutzerhandbuch.
Themen
Auf Amazon ECR Identity basierende Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon ECR unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie unter IAMJSONPolicy Elements Reference im IAMBenutzerhandbuch.
Aktionen
Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.
Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
Richtlinienaktionen in Amazon ECR verwenden vor der Aktion das folgende Präfix:ecr:. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein ECR Amazon-Repository mit dem ECR CreateRepository API Amazon-Vorgang zu erstellen, nehmen Sie die ecr:CreateRepository Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon ECR definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "ecr:action1", "ecr:action2"
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "ecr:Describe*"
Eine Liste der ECR Amazon-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Container Registry im IAMBenutzerhandbuch.
Ressourcen
Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Resource JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem Amazon-Ressourcennamen (ARN) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.
Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
"Resource": "*"
Eine ECR Amazon-Repository-Ressource hat FolgendesARN:
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.
Um beispielsweise das my-repo Repository in der us-east-1 Region in Ihrem Kontoauszug anzugeben, verwenden Sie Folgendes: ARN
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
Um alle Repositorys anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
"Resource": [ "resource1", "resource2"
Eine Liste der ECR Amazon-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon Elastic Container Registry definierte Ressourcen im IAMBenutzerhandbuch. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Von Amazon Elastic Container Registry definierte Aktionen.
Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.
Amazon ECR definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel im IAMBenutzerhandbuch.
Die meisten ECR Amazon-Aktionen unterstützen die Tasten aws:ResourceTag und ecr:ResourceTag Condition. Weitere Informationen finden Sie unter Verwenden Tag-basierter Zugriffskontrolle.
Eine Liste der ECR Amazon-Bedingungsschlüssel finden Sie unter Condition Keys Defined by Amazon Elastic Container Registry im IAMBenutzerhandbuch. Um zu erfahren, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, siehe Actions Defined by Amazon Elastic Container Registry.
Beispiele
Beispiele für ECR identitätsbasierte Richtlinien von Amazon finden Sie unter. Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien
ECRRessourcenbasierte Richtlinien von Amazon
Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die festlegen, welche Aktionen ein bestimmter Principal unter welchen Bedingungen auf einer ECR Amazon-Ressource ausführen kann. Amazon ECR unterstützt ressourcenbasierte Berechtigungsrichtlinien für ECR Amazon-Repositorys. Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, um einem AWS Service den Zugriff auf Ihre ECR Amazon-Repositorys zu ermöglichen.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Principal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Haupteinheit auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Unterschiede zwischen IAM Rollen und ressourcenbasierten Richtlinien.
Der ECR Amazon-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Repository-Richtlinie bezeichnet wird und an ein Repository angehängt ist. Diese Richtlinie definiert, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und verbundene Benutzer) Aktionen auf dem Container durchführen können. Weitere Informationen zum Anfügen einer ressourcenbasierten Richtlinie an ein Repository finden Sie unter Richtlinien für private Repositorys in Amazon ECR.
Anmerkung
In einer ECR Amazon-Repository-Richtlinie Sid unterstützt das Policy-Element zusätzliche Zeichen und Leerzeichen, die in IAM Richtlinien nicht unterstützt werden.
Beispiele
Beispiele für ECR ressourcenbasierte Richtlinien von Amazon finden Sie unter Beispiele für Richtlinien für private Repositorien in Amazon ECR
Autorisierung basierend auf ECR Amazon-Tags
Sie können Tags an ECR Amazon-Ressourcen anhängen oder Tags in einer Anfrage an Amazon weitergebenECR. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel ecr:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen zum Taggen von ECR Amazon-Ressourcen finden Sie unterKennzeichnen eines privaten Repositorys in Amazon ECR.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Verwenden Tag-basierter Zugriffskontrolle.
ECRIAMRollen bei Amazon
Eine IAMRolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
Temporäre Anmeldeinformationen mit Amazon verwenden ECR
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API Operationen wie AssumeRoleoder aufrufen GetFederationToken.
Amazon ECR unterstützt die Verwendung temporärer Anmeldeinformationen.
Service-verknüpfte Rollen
Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon ECR unterstützt serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon ECR.
