Politiques relatives aux référentiels privés dans Amazon ECR - Amazon ECR
Politiques de référentiel vs politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques relatives aux référentiels privés dans Amazon ECR

Amazon ECR utilise les autorisations basées sur les ressources pour contrôler l'accès aux référentiels. Les autorisations basées sur les ressources vous permettent de spécifier quels utilisateurs ou rôles ont accès à un référentiel et quelles actions ils peuvent effectuer sur le référentiel. Par défaut, seul le AWS compte qui a créé le référentiel a accès au référentiel. Vous pouvez appliquer une politique de dépôt qui autorise un accès supplémentaire à votre dépôt.

Rubriques

Politiques de référentiel vs politiques IAM

Les politiques de référentiel Amazon ECR constituent un sous-ensemble de politiques IAM spécifiquement limitées et utilisées pour contrôler l'accès aux référentiels Amazon ECR individuels. Les politiques IAM sont généralement utilisées pour appliquer des autorisations pour l'ensemble du service Amazon ECR, mais elles peuvent également être utilisées pour contrôler l'accès à des ressources spécifiques.

Les politiques de référentiel Amazon ECR et les politiques IAM sont utilisées pour déterminer les actions qu'un utilisateur ou un rôle particulier peut effectuer sur un référentiel. Si un utilisateur ou un rôle est autorisé à effectuer une action via une politique de référentiel, mais se voit refuser l'autorisation via une politique IAM (ou inversement), l'action sera refusée. Un utilisateur ou un rôle doit être autorisé à effectuer une action par une politique de référentiel ou par une stratégie IAM, mais pas par les deux, pour que l'action soit autorisée.

Important

Amazon ECR exige que les utilisateurs aient l'autorisation d'effectuer des appels d'API ecr:GetAuthorizationToken via une politique IAM avant qu'ils puissent s'authentifier auprès d'un référentiel et transmettre ou extraire des images à partir d'un référentiel Amazon ECR. Amazon ECR fournit plusieurs politiques IAM gérées afin de contrôler l'accès utilisateur à différents niveaux. Pour en savoir plus, consultez Exemples de politiques basées sur l'identité du registre de conteneur Amazon Elastic.

Vous pouvez utiliser l'un ou l'autre de ces types de politique pour contrôler l'accès à vos référentiels, comme illustré dans les exemples suivants.

Cet exemple présente une politique de référentiel Amazon ECR qui autorise un utilisateur spécifique à décrire le référentiel et les images de ce référentiel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECRRepositoryPolicy",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::account-id:user/username"},
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ]
        }
    ]
}

Cet exemple présente une politique IAM qui permet d'atteindre le même objectif que ci-dessus en délimitant la politique à un référentiel (spécifié par l'ARN complet du référentiel) à l'aide du paramètre de ressource. Pour en savoir plus sur le format Amazon Resource Name (ARN), consultez Ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeRepoImage",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ],
            "Resource": ["arn:aws:ecr:region:account-id:repository/repository-name"]
        }
    ]
}