Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richtlinien für private Repositorys in Amazon ECR
Amazon ECR verwendet ressourcenbasierte Berechtigungen, um den Zugriff auf Repositories zu kontrollieren. Mit ressourcenbasierten Berechtigungen können Sie angeben, welche Benutzer oder Rollen Zugriff auf ein Repository haben und welche Aktionen sie im Repository ausführen können. Standardmäßig hat nur das AWS Konto, das das Repository erstellt hat, Zugriff auf das Repository. Sie können eine Repository-Richtlinie anwenden, die zusätzlichen Zugriff auf Ihr Repository ermöglicht.
Themen
Repository-Richtlinien im Vergleich zu IAM-Richtlinien
Amazon ECR Repository-Richtlinien sind eine Untergruppe von IAM-Richtlinien, die für die Kontrolle des Zugriffs auf einzelne Amazon ECR-Repositorys ausgelegt sind und speziell dafür verwendet werden. IAM-Richtlinien werden im Allgemeinen verwendet, um Berechtigungen für den gesamten Amazon ECR-Service anzuwenden, können aber auch verwendet werden, um den Zugriff auf bestimmte Ressourcen zu steuern.
Sowohl Amazon-ECR-Repository-Richtlinien als auch IAM-Richtlinien werden verwendet, um zu bestimmen, welche Aktionen ein bestimmter Benutzer oder eine bestimmte Rolle in einem Repository ausführen darf. Wenn ein Benutzer oder eine Rolle eine Aktion über eine Repository-Richtlinie ausführen darf, aber über eine IAM-Richtlinie nicht dazu berechtigt ist (oder umgekehrt), wird die Aktion verweigert. Ein Benutzer oder eine Rolle muss nur entweder über eine Repository-Richtlinie oder eine IAM-Richtlinie die Berechtigung für eine Aktion erhalten, nicht aber über beide, damit die Aktion erlaubt ist.
Wichtig
Amazon ECR erfordert, dass Benutzer über eine IAM-Richtlinie die Berechtigung haben, die ecr:GetAuthorizationToken API aufzurufen, bevor sie sich bei einer Registrierung authentifizieren und Images aus einem Amazon ECR-Repository pushen oder pullen können. Amazon ECR bietet mehrere verwaltete IAM-Richtlinien zur Kontrolle des Benutzerzugriffs auf verschiedenen Ebenen; weitere Informationen finden Sie unter Beispiele für identitätsbasierte Amazon Elastic Container Service-Richtlinien.
Sie können eine der beiden Richtlinientypen für die Zugriffssteuerung Ihrer Repositorys verwenden, wie in den folgenden Beispielen dargestellt.
Dieses Beispiel zeigt eine Amazon-ECR-Repository-Richtlinie, die es einem bestimmten Benutzer ermöglicht, das Repository und die Images innerhalb des Repositorys zu beschreiben.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ECRRepositoryPolicy",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::account-id:user/username"},
"Action": [
"ecr:DescribeImages",
"ecr:DescribeRepositories"
]
}
]
}Dieses Beispiel zeigt eine IAM-Richtlinie, die das gleiche Ziel wie oben erreicht, indem die Richtlinie auf ein Repository (angegeben durch den vollständigen ARN des Repository) unter Verwendung des Ressourcenparameters beschränkt wird. Weitere Informationen zum Format von Amazon-Ressourcenname (ARN) finden Sie unter Ressourcen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeRepoImage",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:DescribeRepositories"
],
"Resource": ["arn:aws:ecr:region:account-id:repository/repository-name"]
}
]
}