Amazon Elastic Container Registry용 AWS 관리형 정책

AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

Amazon ECR은 IAM 자격 증명이나 Amazon EC2 인스턴스에 연결할 수 있는 여러 개의 관리형 정책을 제공합니다. 이러한 관리형 정책은 Amazon ECR 리소스 및 API 작업에 대한 액세스 제어 수준을 다양화할 수 있습니다. 이러한 정책에 언급되는 각 API 작업에 대한 자세한 내용은 Amazon Elastic Container Registry API 참조의 작업 단원을 참조하십시오.

AmazonEC2ContainerRegistryFullAccess

AmazonEC2ContainerRegistryFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 관리형 정책을 시작점으로 사용하여 특정 요구 사항에 따라 고유한 IAM 정책을 생성할 수 있습니다. 예를 들어 사용자나 역할에 Amazon ECR 사용을 관리할 전체 관리자 액세스 권한을 제공하는 정책을 생성할 수 있습니다. Amazon ECR 수명 주기 정책 기능을 사용하여 리포지토리에서 이미지의 수명 주기 관리를 지정할 수 있습니다. 수명 주기 정책 이벤트는 CloudTrail 이벤트로 보고됩니다. Amazon ECR은 AWS CloudTrail을 사용하여 수명 주기 정책 이벤트를 Amazon ECR 콘솔에 직접 표시할 수 있습니다. AmazonEC2ContainerRegistryFullAccess 관리형 IAM 정책에는 이 동작을 촉진할 수 있는 cloudtrail:LookupEvents 권한이 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

이 AmazonEC2ContainerRegistryFullAccess 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

AmazonEC2ContainerRegistryPowerUser 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM 사용자가 리포지토리에 대한 읽기 및 쓰기를 허용하는 관리 권한을 부여하지만, 리포지토리를 삭제하거나 리포지토리에 적용된 정책 설명을 변경할 수는 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

이 AmazonEC2ContainerRegistryPowerUser 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

AmazonEC2ContainerRegistryPullOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 Amazon ECR에서 컨테이너 이미지를 가져올 수 있는 권한을 부여합니다. 레지스트리에 풀스루 캐시가 활성화되어 있는 경우 이 정책은 업스트림 레지스트리에서 이미지를 가져올 수 있는 권한도 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

이 AmazonEC2ContainerRegistryPullOnly 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

AmazonEC2ContainerRegistryReadOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 Amazon ECR에 대한 읽기 전용 권한을 부여합니다. 여기에는 리포지토리와 리포지토리 내의 이미지를 나열하는 기능이 포함됩니다. 또한 Docker CLI를 사용하여 Amazon ECR에서 이미지를 가져올 수 있는 기능도 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

이 AmazonEC2ContainerRegistryReadOnly 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

AWSECRPullThroughCache_ServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR이 풀스루 캐시 워크플로를 통해 이미지를 리포지토리에 푸시할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 풀스루 캐시에 대한 Amazon ECR 서비스 연결 역할 단원을 참조하십시오.

ECRReplicationServiceRolePolicy

ECRReplicationServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon ECR에 대한 서비스 연결 역할 사용 단원을 참조하십시오.

ECRTemplateServiceRolePolicy

ECRTemplateServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon ECR에 대한 서비스 연결 역할 사용 단원을 참조하십시오.

AWS 관리형 정책에 대한 Amazon ECR 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 Amazon ECR의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Amazon ECR 문서 기록 페이지에서 RSS 피드를 구독하세요.