Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Uso del controllo degli accessi basato su tag
L'azione dell' CreateRepository API Amazon ECR consente di specificare i tag quando si crea il repository. Per ulteriori informazioni, consulta Taggare un repository privato in Amazon ECR.
Per consentire agli utenti di applicare tag ai repository durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, ad esempio ecr:CreateRepository. Se i tag vengono specificati nell'azione di creazione delle risorse, Amazon esegue autorizzazioni aggiuntive per l'azione ecr:CreateRepository per verificare se gli utenti dispongono delle autorizzazioni per creare tag.
Puoi utilizzare il controllo degli accessi basato su tag tramite le policy IAM. Di seguito vengono mostrati gli esempi.
La policy seguente consente a un utente di creare o di applicare un tag a un repository come key=environment,value=dev.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedRepository", "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } }, { "Sid": "AllowTagRepository", "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } } ] }
La seguente politica consentirebbe a un utente di estrarre immagini da tutti i repository a meno che non siano contrassegnate come. key=environment,value=prod
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*", "Condition": { "StringEquals": { "ecr:ResourceTag/environment": "prod" } } } ] }
