Verwenden Tag-basierter Zugriffskontrolle - Amazon ECR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Tag-basierter Zugriffskontrolle

Mit der Amazon ECR CreateRepository API-Aktion können Sie Tags angeben, wenn Sie das Repository erstellen. Weitere Informationen finden Sie unter Kennzeichnen eines privaten Repositorys in Amazon ECR.

Damit Benutzer Repositorys bei der Erstellung markieren können, müssen sie über die Berechtigung zur Verwendung der Aktion verfügen, mit der die Ressource erstellt wird (z. B. ecr:CreateRepository). Wenn Tags in der Aktion angegeben werden, mit der die Ressource erstellt wird, führt Amazon eine zusätzliche Autorisierung für die ecr:CreateRepository-Aktion aus, um die Berechtigungen der Benutzer zum Erstellen von Tags zu überprüfen.

Sie können die Tag-basierte Zugriffskontrolle über IAM-Richtlinien verwenden. Im Folgenden sind einige Beispiele aufgeführt.

Die folgende Richtlinie würde einem Benutzer nur erlauben, ein Repository als key=environment,value=dev zu erstellen oder zu kennzeichnen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateTaggedRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        },
        {
            "Sid": "AllowTagRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        }
    ]
}

Die folgende Richtlinie würde es einem Benutzer ermöglichen, Bilder aus allen Repositorys abzurufen, sofern sie nicht als gekennzeichnet sind. key=environment,value=prod

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/environment": "prod"
                }
            }
        }
    ]
}