AmazonEC2ContainerRegistryFullAccess AmazonEC2ContainerRegistryPowerUser AmazonEC2ContainerRegistryPullOnly AmazonEC2ContainerRegistryReadOnly AWSECRPullThroughCache_ServiceRolePolicy ECRReplicationServiceRolePolicy ECRTemplateServiceRolePolicy Aggiornamenti alle policy

AWS politiche gestite per Amazon Elastic Container Registry

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnellaGuida per l'utente IAM.

Amazon ECR offre diverse politiche gestite che puoi allegare alle IAM identità o alle EC2 istanze Amazon. Queste policy gestite consentono diversi livelli di controllo sull'accesso alle ECR risorse e alle API operazioni di Amazon. Per ulteriori informazioni su ciascuna API operazione menzionata in queste politiche, consulta Actions in the Amazon Elastic Container Registry API Reference.

Argomenti

AmazonEC2ContainerRegistryFullAccess
AmazonEC2ContainerRegistryPowerUser
AmazonEC2ContainerRegistryPullOnly
AmazonEC2ContainerRegistryReadOnly
AWSECRPullThroughCache_ServiceRolePolicy
ECRReplicationServiceRolePolicy
ECRTemplateServiceRolePolicy
ECRAggiornamenti Amazon alle politiche AWS gestite

`AmazonEC2ContainerRegistryFullAccess`

È possibile collegare la policy AmazonEC2ContainerRegistryFullAccess alle identità IAM.

È possibile utilizzare questa policy gestita come punto di partenza per creare una policy IAM personalizzata in base ai propri requisiti specifici. Ad esempio, puoi creare una politica specifica per fornire a un utente o a un ruolo l'accesso amministrativo completo per gestire l'uso di AmazonECR. Con la funzionalità Amazon ECR Lifecycle Policies, puoi specificare la gestione del ciclo di vita delle immagini in un repository. Gli eventi delle policy relative al ciclo di vita vengono segnalati come eventi. CloudTrail Amazon ECR è integrato AWS CloudTrail in modo da poter visualizzare gli eventi delle politiche del ciclo di vita direttamente nella console AmazonECR. La IAM politica AmazonEC2ContainerRegistryFullAccess gestita include l'cloudtrail:LookupEventsautorizzazione a facilitare questo comportamento.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

ecr— Consente ai mandanti l'accesso completo a tutti gli Amazon ECRAPIs.
cloudtrail— Consente ai responsabili di cercare gli eventi di gestione o gli eventi AWS CloudTrail Insights acquisiti da. CloudTrail

La policy AmazonEC2ContainerRegistryFullAccess è la seguente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

`AmazonEC2ContainerRegistryPowerUser`

È possibile collegare la policy AmazonEC2ContainerRegistryPowerUser alle identità IAM.

Questa policy concede le autorizzazioni amministrative che consentono agli utenti IAM di leggere e scrivere nei repository, ma non permette né di eliminare i repository né di modificare i documenti di policy ad essi applicati.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

ecr— Consente ai responsabili di leggere e scrivere nei repository, nonché di leggere le politiche del ciclo di vita. Alle entità principali non viene concessa l'autorizzazione per eliminare i repository o modificare le policy relative al ciclo di vita applicate ad essi.

La policy AmazonEC2ContainerRegistryPowerUser è la seguente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

`AmazonEC2ContainerRegistryPullOnly`

È possibile collegare la policy AmazonEC2ContainerRegistryPullOnly alle identità IAM.

Questa politica concede l'autorizzazione a estrarre immagini di container da AmazonECR. Se il registro è abilitato per la cache pull-through, consentirà anche ai pull di importare un'immagine da un registro upstream.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

ecr: consente alle entità principali di leggere i repository e le rispettive policy relative al ciclo di vita.

La policy AmazonEC2ContainerRegistryPullOnly è la seguente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

`AmazonEC2ContainerRegistryReadOnly`

È possibile collegare la policy AmazonEC2ContainerRegistryReadOnly alle identità IAM.

Questa politica concede autorizzazioni di sola lettura ad Amazon. ECR Ciò include la possibilità di elencare repository e immagini all'interno dei repository. Include anche la possibilità di estrarre immagini da Amazon ECR con DockerCLI.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

ecr: consente alle entità principali di leggere i repository e le rispettive policy relative al ciclo di vita.

La policy AmazonEC2ContainerRegistryReadOnly è la seguente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

`AWSECRPullThroughCache_ServiceRolePolicy`

Non è possibile collegare la policy AWSECRPullThroughCache_ServiceRolePolicy gestita da IAM alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon di inviare immagini ECR ai tuoi repository tramite il flusso di lavoro pull through cache. Per ulteriori informazioni, consulta Ruolo ECR collegato ai servizi Amazon per il pull through cache.

`ECRReplicationServiceRolePolicy`

Non è possibile collegare la policy ECRReplicationServiceRolePolicy gestita da IAM alle entità IAM. Questa politica è associata a un ruolo collegato al servizio che consente ECR ad Amazon di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECR.

`ECRTemplateServiceRolePolicy`

Non è possibile collegare la policy ECRTemplateServiceRolePolicy gestita da IAM alle entità IAM. Questa politica è associata a un ruolo collegato al servizio che consente ECR ad Amazon di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon ECR.

ECRAggiornamenti Amazon alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon ECR dal momento in cui questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia di Amazon ECR Document.

Modifica	Descrizione	Data
Amazon EC2ContainerRegistryPullOnly — Nuova politica	Amazon ECR ha aggiunto una nuova politica che concede autorizzazioni Grants Pull Only ad Amazon. ECR	10 ottobre 2024
ECRTemplateServiceRolePolicy: nuova policy	Amazon ECR ha aggiunto una nuova politica. Questa politica è associata al ruolo `ECRTemplateServiceRolePolicy` collegato al servizio per la funzionalità del modello di creazione di repository.	20 giugno 2024
AWSECRPullThroughCache_ ServiceRolePolicy — Aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AWSECRPullThroughCache_ServiceRolePolicy` politica. Queste autorizzazioni consentono ECR ad Amazon di recuperare i contenuti crittografati di un segreto di Secrets Manager. Ciò è necessario quando utilizzi una regola di cache pull-through per memorizzare nella cache le immagini da un registro upstream che richiede l'autenticazione.	15 novembre 2023
AWSECRPullThroughCache_ ServiceRolePolicy — Nuova politica	Amazon ECR ha aggiunto una nuova politica. Questa policy è associata al ruolo `AWSServiceRoleForECRPullThroughCache` collegato al servizio per la funzione di cache pull-through.	29 novembre 2021
ECRReplicationServiceRolePolicy: nuova policy	Amazon ECR ha aggiunto una nuova politica. Questa policy è associata al ruolo `AWSServiceRoleForECRReplication` collegato al servizio per la funzione di replica.	4 dicembre 2020
Amazon EC2ContainerRegistryFullAccess: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryFullAccess` politica. Queste autorizzazioni consentono ai responsabili di creare il ruolo collegato ai ECR servizi Amazon.	4 dicembre 2020
Amazon EC2ContainerRegistryReadOnly: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryReadOnly` policy che consentono ai responsabili di leggere le politiche del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini.	10 dicembre 2019
Amazon EC2ContainerRegistryPowerUser: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryPowerUser` politica. Consentono alle entità principali di leggere le policy del ciclo di vita, elencare i tag e descrivere i risultati della scansione delle immagini.	10 dicembre 2019
Amazon EC2ContainerRegistryFullAccess: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryFullAccess` politica. Consentono ai responsabili di cercare eventi di gestione o eventi AWS CloudTrail Insights acquisiti da. CloudTrail	10 Novembre 2017
Amazon EC2ContainerRegistryReadOnly: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryReadOnly` politica. Consentono ai mandanti di descrivere le ECR immagini di Amazon.	11 ottobre 2016
Amazon EC2ContainerRegistryPowerUser: aggiornamento a una politica esistente	Amazon ECR ha aggiunto nuove autorizzazioni alla `AmazonEC2ContainerRegistryPowerUser` politica. Consentono ai mandanti di descrivere le ECR immagini di Amazon.	11 ottobre 2016
Amazon EC2ContainerRegistryReadOnly — Nuova politica	Amazon ECR ha aggiunto una nuova politica che concede autorizzazioni di sola lettura ad Amazon. ECR Queste autorizzazioni prevedono la possibilità di elencare repository e immagini all'interno dei repository. Includono anche la possibilità di estrarre immagini da Amazon ECR con DockerCLI.	21 dicembre 2015
Amazon EC2ContainerRegistryPowerUser — Nuova politica	Amazon ECR ha aggiunto una nuova politica che concede autorizzazioni amministrative che consentono agli utenti di leggere e scrivere negli archivi ma non consente loro di eliminare gli archivi o modificare i documenti relativi alle policy ad essi applicati.	21 dicembre 2015
Amazon EC2ContainerRegistryFullAccess — Nuova politica	Amazon ECR ha aggiunto una nuova politica. Questa politica garantisce l'accesso completo ad AmazonECR.	21 dicembre 2015
Amazon ECR ha iniziato a tracciare le modifiche	Amazon ECR ha iniziato a tracciare le modifiche per le politiche AWS gestite.	24 giugno 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Uso del controllo degli accessi basato su tag

Uso di ruoli collegati ai servizi