AWS Amazon Elastic Container Registry 的 受管政策 - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Elastic Container Registry 的 受管政策

AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的API操作可用於現有 服務時, AWS 最有可能更新受 AWS 管政策。

如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策

Amazon ECR提供數個 受管政策,您可以附加至IAM身分或 Amazon EC2執行個體。這些受管政策允許對 Amazon ECR 資源和API操作的存取進行不同層級的控制。如需這些政策中提及的每個API操作的詳細資訊,請參閱 Amazon Elastic Container Registry API參考 中的動作

AmazonEC2ContainerRegistryFullAccess

您可以將AmazonEC2ContainerRegistryFullAccess政策連接至身分IAM。

您可以使用此受管政策作為起點,以根據您的特定需求建立自己的IAM政策。例如,您可以建立政策,特別為使用者或角色提供完整的管理員存取權,以管理 Amazon 的使用ECR。使用 Amazon ECR 生命週期政策功能,您可以指定儲存庫中映像的生命週期管理。生命週期政策事件會報告為 CloudTrail 事件。Amazon 已與 ECR 整合 AWS CloudTrail ,因此可以直接在 Amazon ECR主控台中顯示生命週期政策事件。AmazonEC2ContainerRegistryFullAccess 受管IAM政策包含協助此行為的cloudtrail:LookupEvents許可。

許可詳細資訊

此政策包含以下許可:

  • ecr – 允許委託人完整存取所有 Amazon ECR APIs。

  • cloudtrail – 允許主體查詢 擷取的管理事件或 AWS CloudTrail Insights 事件 CloudTrail。

AmazonEC2ContainerRegistryFullAccess 政策如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

您可以將AmazonEC2ContainerRegistryPowerUser政策連接至身分IAM。

此政策授予管理許可,IAM允許使用者讀取和寫入儲存庫,但不允許他們刪除儲存庫或變更套用至儲存庫的政策文件。

許可詳細資訊

此政策包含以下許可:

  • ecr – 允許主體讀取和寫入儲存庫,以及讀取生命週期政策。委託人不會被授予刪除儲存庫或變更套用至其生命週期政策的許可。

AmazonEC2ContainerRegistryPowerUser 政策如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

您可以將AmazonEC2ContainerRegistryReadOnly政策連接至身分IAM。

此政策會授予 Amazon 唯讀許可ECR。這包括在儲存庫中列出儲存庫和映像的功能。它還包括ECR使用 Docker 從 Amazon 提取映像的功能CLI。

許可詳細資訊

此政策包含以下許可:

  • ecr – 允許委託人讀取儲存庫及其各自的生命週期政策。

AmazonEC2ContainerRegistryReadOnly 政策如下所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

您無法將AWSECRPullThroughCache_ServiceRolePolicy受管IAM政策連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon 透過提取快取工作流程將映像ECR推送至您的儲存庫。如需詳細資訊,請參閱適用於提取快取的 Amazon ECR服務連結角色

ECRReplicationServiceRolePolicy

您無法將ECRReplicationServiceRolePolicy受管IAM政策連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon ECR代表您執行動作。如需詳細資訊,請參閱使用 Amazon 的服務連結角色 ECR

ECRTemplateServiceRolePolicy

您無法將ECRTemplateServiceRolePolicy受管IAM政策連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon ECR代表您執行動作。如需詳細資訊,請參閱使用 Amazon 的服務連結角色 ECR

Amazon 對 AWS 受管政策的ECR更新

檢視自此服務開始追蹤這些變更ECR以來,Amazon 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon ECR Document 歷史記錄頁面上的RSS摘要。

變更 描述 日期

ECRTemplateServiceRolePolicy – 新政策

Amazon ECR 新增了新政策。此政策與儲存庫建立範本功能ECRTemplateServiceRolePolicy的服務連結角色相關聯。

 2024 年 6 月 20 日

AWSECRPullThroughCache_ServiceRolePolicy – 現有政策的更新

Amazon 已將新許可ECR新增至AWSECRPullThroughCache_ServiceRolePolicy政策。這些許可允許 Amazon ECR擷取 Secrets Manager 秘密的加密內容。這在使用提取快取規則從需要驗證的上游登錄檔快取映像時是必要的。

 2023 年 11 月 15 日

AWSECRPullThroughCache_ServiceRolePolicy – 新政策

Amazon ECR 新增了新政策。此政策與提取快取功能的 AWSServiceRoleForECRPullThroughCache 服務連結角色相關聯。

 2021 年 11 月 29 日

ECRReplicationServiceRolePolicy – 新政策

Amazon ECR 新增了新政策。此政策與複寫功能的 AWSServiceRoleForECRReplication 服務連結角色相關聯。

 2020 年 12 月 4 日

AmazonEC2ContainerRegistryFullAccess – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryFullAccess政策。這些許可允許主體建立 Amazon ECR服務連結角色。

 2020 年 12 月 4 日

AmazonEC2ContainerRegistryReadOnly – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryReadOnly政策,允許主體讀取生命週期政策、列出標籤,並描述影像的掃描結果。

 2019 年 12 月 10 日

AmazonEC2ContainerRegistryPowerUser – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryPowerUser政策。它們允許委託人讀取生命週期政策、列出標籤,以及描述映像的掃描問題清單。

 2019 年 12 月 10 日

AmazonEC2ContainerRegistryFullAccess – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryFullAccess政策。它們允許主體查詢 擷取的管理事件或 AWS CloudTrail Insights 事件 CloudTrail。

 2017 年 11 月 10 日

AmazonEC2ContainerRegistryReadOnly – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryReadOnly政策。它們允許主體描述 Amazon ECR映像。

 2016 年 10 月 11 日

AmazonEC2ContainerRegistryPowerUser – 現有政策的更新

Amazon 已將新許可ECR新增至AmazonEC2ContainerRegistryPowerUser政策。它們允許主體描述 Amazon ECR映像。

 2016 年 10 月 11 日

AmazonEC2ContainerRegistryReadOnly – 新政策

Amazon ECR已新增新政策,將唯讀許可授予 Amazon ECR。這些許可包括在儲存庫中列出儲存庫和映像的功能。它們也包含ECR使用 Docker 從 Amazon 提取映像的功能CLI。

 2015 年 12 月 21 日

AmazonEC2ContainerRegistryPowerUser – 新政策

Amazon ECR 新增了新的政策,其授予管理許可,允許我們讀取和寫入儲存庫,但不允許他們刪除儲存庫或變更套用至儲存庫的政策文件。

 2015 年 12 月 21 日

AmazonEC2ContainerRegistryFullAccess – 新政策

Amazon ECR 新增了新政策。此政策會授予 Amazon 的完整存取權ECR。

 2015 年 12 月 21 日

Amazon ECR開始追蹤變更

Amazon ECR開始追蹤 AWS 受管政策的變更。

 2021 年 6 月 24 日