Políticas gerenciadas pela AWS para o Amazon Elastic Container Registry
Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
O Amazon ECR fornece várias políticas gerenciadas que você pode anexar às identidades do IAM ou às instâncias do Amazon EC2. Essas políticas gerenciadas permitem habilitar diferentes níveis de controle sobre o acesso às operações de API e aos recursos do Amazon ECR. Para obter mais informações sobre cada operação de API mencionada nessas políticas, consulteAções na Referência da API do Amazon Elastic Container Registry.
Tópicos
- AmazonEC2ContainerRegistryFullAccess
- AmazonEC2ContainerRegistryPowerUser
- AmazonEC2ContainerRegistryPullOnly
- AmazonEC2ContainerRegistryReadOnly
- AWSECRPullThroughCache_ServiceRolePolicy
- ECRReplicationServiceRolePolicy
- ECRTemplateServiceRolePolicy
- Atualizações do Amazon ECR para políticas gerenciadas pela AWS
AmazonEC2ContainerRegistryFullAccess
É possível anexar a política AmazonEC2ContainerRegistryFullAccess a suas identidades do IAM.
Você pode usar essa política gerenciada como um ponto de partida para criar sua própria política do IAM com base em seus requisitos específicos. Por exemplo, você pode criar uma política especificamente para fornecer a um usuário ou a uma função acesso total de administrador para gerenciar o uso do Amazon ECR. O recurso Políticas de ciclo de vida do Amazon ECR permite que os clientes especifiquem o gerenciamento do ciclo de vida das imagens em um repositório. Os eventos da política de ciclo de vida são relatados como eventos do CloudTrail. O Amazon ECR é integrado com o AWS CloudTrail para poder exibir seus eventos de política de ciclo de vida diretamente no console do Amazon ECR. A política gerenciada AmazonEC2ContainerRegistryFullAccess do IAM inclui a permissão cloudtrail:LookupEvents para facilitar esse comportamento.
Detalhes de permissão
Esta política inclui as seguintes permissões:
-
ecr– Permite acesso total a todas as APIs do Amazon ECR. -
cloudtrail– Permite que os principais pesquisem eventos de gerenciamento ou eventos do AWS CloudTrail Insights capturados pelo CloudTrail.
A política de AmazonEC2ContainerRegistryFullAccess é a seguinte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }
AmazonEC2ContainerRegistryPowerUser
É possível anexar a política AmazonEC2ContainerRegistryPowerUser a suas identidades do IAM.
Essa política concede permissões administrativas que permitem que os usuários do IAM leiam e gravem nos repositórios, mas não permitem que eles excluam repositórios ou alterem os documentos de política aplicados a eles.
Detalhes de permissão
Esta política inclui as seguintes permissões:
-
ecr: permite que as entidades principais leiam e gravem nos repositórios, bem como leiam as políticas de ciclo de vida. Os principais não recebem permissão para excluir repositórios ou alterar as políticas de ciclo de vida que são aplicadas a eles.
A política de AmazonEC2ContainerRegistryPowerUser é a seguinte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryPullOnly
É possível anexar a política AmazonEC2ContainerRegistryPullOnly a suas identidades do IAM.
Essa política concede permissão para extrair imagens de contêineres do Amazon ECR. Se o registro estiver habilitado para cache de pull-through, ele também permitirá que as extrações importem uma imagem de um registro upstream.
Detalhes de permissão
Esta política inclui as seguintes permissões:
-
ecr– permite que os principais leiam repositórios e suas respectivas políticas de ciclo de vida.
A política de AmazonEC2ContainerRegistryPullOnly é a seguinte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:BatchImportUpstreamImage" ], "Resource": "*" } ] }
AmazonEC2ContainerRegistryReadOnly
É possível anexar a política AmazonEC2ContainerRegistryReadOnly a suas identidades do IAM.
Esta política concede permissões de acesso somente para leitura ao Amazon ECR. Isso inclui a capacidade de listar repositórios e imagens dentro dos repositórios. Inclui também a capacidade de extrair imagens do Amazon ECR com a CLI do Docker.
Detalhes de permissão
Esta política inclui as seguintes permissões:
-
ecr– permite que os principais leiam repositórios e suas respectivas políticas de ciclo de vida.
A política de AmazonEC2ContainerRegistryReadOnly é a seguinte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }
AWSECRPullThroughCache_ServiceRolePolicy
Não é possível anexar a política do IAM gerenciada AWSECRPullThroughCache_ServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada a serviço que permite que o Amazon ECR envie imagens para seus repositórios por meio do fluxo de trabalho do cache de pull-through. Para ter mais informações, consulte Função vinculada ao serviço do Amazon ECR para cache de pull-through.
ECRReplicationServiceRolePolicy
Não é possível anexar a política do IAM gerenciada ECRReplicationServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon ECR realizar ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas ao serviço para o Amazon ECR.
ECRTemplateServiceRolePolicy
Não é possível anexar a política do IAM gerenciada ECRTemplateServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon ECR realizar ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas ao serviço para o Amazon ECR.
Atualizações do Amazon ECR para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações de políticas gerenciadas pela AWS para o Amazon ECR desde que este serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon ECR.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonEC2ContainerRegistryPullOnly: nova política |
O Amazon ECR adicionou uma nova política que concede permissões somente de extração para o Amazon ECR. |
10 de outubro de 2024 |
|
ECRTemplateServiceRolePolicy: nova política |
O Amazon ECR adicionou uma nova política. Esta política está associada ao perfil vinculado ao serviço |
20 de junho de 2024 |
|
AWSEcrPullthroughCache_ServiceRolePolicy - Atualização para uma política existente |
O Amazon ECR adicionou novas permissões à política |
15 de novembro de 2023 |
|
AWSECRPullThroughCache_ServiceRolePolicy - Nova política |
O Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço |
29 de novembro de 2021 |
|
ECRReplicationServiceRolePolicy: nova política |
O Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço |
4 de dezembro de 2020 |
|
AmazonEC2ContainerRegistryFullAccess – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
4 de dezembro de 2020 |
|
AmazonEC2ContainerRegistryReadOnly – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
10 de dezembro de 2019 |
|
AmazonEC2ContainerRegistryPowerUser – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
10 de dezembro de 2019 |
|
AmazonEC2ContainerRegistryFullAccess – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
10 de novembro de 2017 |
|
AmazonEC2ContainerRegistryReadOnly – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
11 de outubro de 2016 |
|
AmazonEC2ContainerRegistryPowerUser – Atualização em uma política existente |
O Amazon ECR adicionou novas permissões à política |
11 de outubro de 2016 |
|
AmazonEC2ContainerRegistryReadOnly – Nova política |
O Amazon ECR adicionou uma nova política que concede permissões somente de leitura para o Amazon ECR. Essas permissões incluem a capacidade de listar repositórios e imagens nos repositórios. Incluem também a capacidade de extrair imagens do Amazon ECR com a CLI do Docker. |
21 de dezembro de 2015 |
|
AmazonEC2ContainerRegistryPowerUser – Nova política |
O Amazon ECR adicionou uma nova política que concede permissões administrativas que permitem que os usuários leiam e gravem nos repositórios, mas não permitem que eles excluam repositórios ou alterem os documentos de política aplicados a eles. |
21 de dezembro de 2015 |
|
AmazonEC2ContainerRegistryFullAccess – Nova política |
O Amazon ECR adicionou uma nova política. Essa política concede ao acesso total ao Amazon ECR. |
21 de dezembro de 2015 |
|
O Amazon ECR passou a monitorar alterações |
O Amazon ECR passou a controlar alterações para as políticas gerenciadas da AWS. |
24 de junho de 2021 |
