AWS Amazon 弹性容器注册表的托管策略 - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicy策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Amazon 弹性容器注册表的托管策略

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。

有关更多信息,请参阅 IAM IAM 用户指南中的 AWS 托管式策略

Amazon ECR 提供了多个托管策略,您可以将这些策略附加到IAM身份或亚马逊EC2实例。这些托管策略允许对访问 Amazon ECR 资源和API运营进行不同级别的控制。有关这些政策中提及的每项API操作的更多信息,请参阅 Amazon 弹性容器注册表API参考中的操作

AmazonEC2ContainerRegistryFullAccess

您可以将 AmazonEC2ContainerRegistryFullAccess 策略附加到 IAM 身份。

您可以使用此托管策略作为起点,根据您的具体要求创建自己的 IAM policy。例如,您可以创建一项策略,专门为用户或角色提供完全管理员访问权限,以管理 Amazon 的使用ECR。借助 Amazon ECR 生命周期策略功能,您可以指定存储库中图像的生命周期管理。生命周期策略事件作为 CloudTrail 事件报告。亚马逊与ECR之集成 AWS CloudTrail ,因此可以直接在亚马逊ECR控制台中显示您的生命周期策略事件。AmazonEC2ContainerRegistryFullAccess托管IAM策略包括为这种行为提供便利的cloudtrail:LookupEvents权限。

权限详细信息

该策略包含以下权限:

  • ecr— 允许委托人完全访问所有 Amazon ECR APIs。

  • cloudtrail— 允许委托人查找由 CloudTrail捕获的管理事件或 AWS CloudTrail Insights 事件。

AmazonEC2ContainerRegistryFullAccess 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

您可以将 AmazonEC2ContainerRegistryPowerUser 策略附加到 IAM 身份。

此策略授予管理权限,以允许 IAM 用户读写存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

权限详细信息

该策略包含以下权限:

  • ecr:允许主体读取和写入存储库,以及读取生命周期策略。委托人不会被授予删除存储库或更改应用于它们的生命周期策略的权限。

AmazonEC2ContainerRegistryPowerUser 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

您可以将 AmazonEC2ContainerRegistryPullOnly 策略附加到 IAM 身份。

此政策授予从 Amazon 提取容器图像的权限ECR。如果注册表启用了缓存提取,则它还将允许从上游注册表导入映像的提取。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryPullOnly 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

您可以将 AmazonEC2ContainerRegistryReadOnly 策略附加到 IAM 身份。

此政策向 Amazon 授予只读权限ECR。这包括列出存储库及其中镜像的功能。它还包括使用Docker CLI 从亚马逊提取图像ECR的功能。

权限详细信息

此策略包含以下权限:

  • ecr - 允许委托人读取存储库及其各自的生命周期策略。

AmazonEC2ContainerRegistryReadOnly 策略如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

您不能将 AWSECRPullThroughCache_ServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon 通过拉取缓存工作流程将图像推送ECR到您的存储库。有关更多信息,请参阅 用于提取缓存的 Amazon ECR 服务相关角色

ECRReplicationServiceRolePolicy

您不能将 ECRReplicationServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。该政策附属于服务相关角色,ECR允许亚马逊代表您执行操作。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 ECR

ECRTemplateServiceRolePolicy

您不能将 ECRTemplateServiceRolePolicy 托管的 IAM policy 附加到您的 IAM 实体。该政策附属于服务相关角色,ECR允许亚马逊代表您执行操作。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 ECR

亚马逊ECR更新了托 AWS 管政策

查看自该服务开始跟踪这些变更ECR以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请在 Amazon ECR 文档历史记录页面上订阅 RSS Feed。

更改 描述 日期

亚马逊 EC2ContainerRegistryPullOnly-新政策

亚马逊ECR添加了一项新政策,向亚马逊授予仅限拉取的权限。ECR

 2024 年 10 月 10 日

ECRTemplateServiceRolePolicy:新策略

亚马逊ECR添加了一项新政策。此策略与用于存储库创建模板功能的 ECRTemplateServiceRolePolicy 服务相关角色关联。

 2024 年 6 月 20 日

AWSECRPullThroughCache_ ServiceRolePolicy — 更新现有政策

Amazon 为该AWSECRPullThroughCache_ServiceRolePolicy政策ECR添加了新的权限。这些权限ECR允许亚马逊检索 Secrets Manager 密钥的加密内容。当使用缓存提取规则来缓存需要身份验证的上游注册表中的映像时,需要此类权限。

 2023 年 11 月 15 日

AWSECRPullThroughCache_ ServiceRolePolicy — 新政策

亚马逊ECR添加了一项新政策。此策略与用于缓存提取功能的 AWSServiceRoleForECRPullThroughCache 服务相关角色相关。

 2021 年 11 月 29 日

ECRReplicationServiceRolePolicy:新策略

亚马逊ECR添加了一项新政策。此策略与用于复制功能的 AWSServiceRoleForECRReplication 服务相关角色相关。

 2020 年 12 月 4 日

亚马逊 EC2ContainerRegistryFullAccess-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryFullAccess政策ECR添加了新的权限。这些权限允许委托人创建 Amazon ECR 服务相关角色。

 2020 年 12 月 4 日

亚马逊 EC2ContainerRegistryReadOnly-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryReadOnly策略ECR添加了新的权限,允许委托人读取生命周期策略、列出标签和描述图像的扫描结果。

 2019 年 12 月 10 日

亚马逊 EC2ContainerRegistryPowerUser-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryPowerUser政策ECR添加了新的权限。这些权限允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。

 2019 年 12 月 10 日

亚马逊 EC2ContainerRegistryFullAccess-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryFullAccess政策ECR添加了新的权限。它们允许校长查找由 CloudTrail捕获的管理事件或 AWS CloudTrail Insights 事件。

 2017 年 11 月 10 日

亚马逊 EC2ContainerRegistryReadOnly-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryReadOnly政策ECR添加了新的权限。它们允许校长描述亚马逊的ECR图片。

 2016 年 10 月 11 日

亚马逊 EC2ContainerRegistryPowerUser-更新现有政策

Amazon 为该AmazonEC2ContainerRegistryPowerUser政策ECR添加了新的权限。它们允许校长描述亚马逊的ECR图片。

 2016 年 10 月 11 日

亚马逊 EC2ContainerRegistryReadOnly-新政策

亚马逊ECR添加了一项新政策,向亚马逊授予只读权限ECR。这些权限包括列出存储库及其中镜像的功能。它们还包括使用Docker CLI 从亚马逊提取图像ECR的功能。

 2015 年 12 月 21 日

亚马逊 EC2ContainerRegistryPowerUser-新政策

Amazon ECR 添加了一项新政策,该政策授予管理权限,允许用户读取和写入存储库,但不允许他们删除存储库或更改应用于存储库的策略文档。

 2015 年 12 月 21 日

亚马逊 EC2ContainerRegistryFullAccess-新政策

亚马逊ECR添加了一项新政策。该政策授予对 Amazon 的完全访问权限ECR。

 2015 年 12 月 21 日

亚马逊ECR开始追踪变更

亚马逊ECR开始跟踪 AWS 托管政策的变更。

 2021 年 6 月 24 日