Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du contrôle d'accès basé sur les balises
L'ECR CreateRepository APIaction Amazon vous permet de spécifier des balises lorsque vous créez le référentiel. Pour de plus amples informations, veuillez consulter Marquer un dépôt privé sur Amazon ECR.
Pour permettre aux utilisateurs d'attribuer des balises aux référentiels au moment de la création, ils doivent avoir les autorisations d'utiliser l'action qui crée la ressource (par exemple, ecr:CreateRepository). Si les balises sont spécifiées dans l’action de création de ressources, Amazon effectue une autorisation supplémentaire sur l’action ecr:CreateRepository pour vérifier si les utilisateurs sont autorisés à créer des balises.
Vous pouvez utiliser le contrôle d'accès basé sur des balises via des IAM politiques. Voici quelques exemples.
La politique suivante autorise uniquement un utilisateur à créer ou baliser un référentiel en tant que key=environment,value=dev.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedRepository", "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } }, { "Sid": "AllowTagRepository", "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } } ] }
La politique suivante autoriserait un utilisateur à extraire des images de tous les référentiels, sauf si elles sont étiquetées commekey=environment,value=prod.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*", "Condition": { "StringEquals": { "ecr:ResourceTag/environment": "prod" } } } ] }
