Políticas de repositorios frente a políticas de IAM

Políticas de repositorios privados en Amazon ECR

Amazon ECR utiliza permisos basados en recursos para controlar el acceso a los repositorios. Los permisos basados en recursos le permiten especificar qué usuarios o roles tienen acceso a un repositorio y qué acciones pueden realizar en él. De forma predeterminada, solo la AWS cuenta que creó el repositorio tiene acceso al repositorio. Puedes aplicar una política de repositorio que permita un acceso adicional a tu repositorio.

Temas

Políticas de repositorios frente a políticas de IAM

Las políticas de repositorios de Amazon ECR son un subconjunto de políticas de IAM destinados a controlar el acceso a repositorios de Amazon ECR individuales, y se aplican específicamente a este fin. Las políticas de IAM se suelen utilizar para aplicar permisos a todo el servicio de Amazon ECR, pero también se pueden utilizar para controlar el acceso a recursos específicos.

Tanto las políticas de repositorios de Amazon ECR como las políticas de IAM se utilizan a la hora de determinar qué acciones puede realizar un rol o usuario específico en un repositorio. Si se le permite realizar una acción a un rol o usuario mediante una política de repositorio, pero el permiso se deniega mediante una política de IAM (o viceversa), la acción se denegará. Para que un usuario o rol pueda realizar una acción, solo necesita que se le proporcione permiso mediante una política de repositorio o una política de IAM, no de ambas.

importante

Amazon ECR requiere que los usuarios tengan permiso para realizar llamadas a la API ecr:GetAuthorizationToken a través de una política de IAM para que puedan autenticarse en un registro, así como insertar o extraer imágenes de cualquier repositorio de Amazon ECR. Amazon ECR proporciona varias políticas de IAM administradas para controlar el acceso de los usuarios en distintos niveles; para obtener más información, consulte Ejemplos de políticas basadas en identidad de Amazon Elastic Container Registry.

Puede utilizar cualquiera de estos tipos de política para controlar el acceso a los repositorios, como se muestra en los siguientes ejemplos.

En este ejemplo se muestra una política de repositorio de Amazon ECR que permite a un usuario específico describir el repositorio y las imágenes que contiene este.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ECRRepositoryPolicy",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::account-id:user/username"},
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ]
        }
    ]
}

En este ejemplo se muestra una política de IAM que logra el mismo objetivo que la anterior al limitar la política a un repositorio (especificado por el ARN completo del repositorio) mediante el parámetro de recurso. Para obtener más información sobre el formato de Nombres de recursos de Amazon (ARN), consulte Recursos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeRepoImage",
            "Effect": "Allow",
            "Action": [
                "ecr:DescribeImages",
                "ecr:DescribeRepositories"
            ],
            "Resource": ["arn:aws:ecr:region:account-id:repository/repository-name"]
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eliminación de un repositorio

Ejemplos de políticas de repositorio