Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

AWS políticas gestionadas para Amazon Elastic Container Registry

PDF
RSS
Modo de enfoque
AWS políticas gestionadas para Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Amazon ECR proporciona varias políticas gestionadas que puede adjuntar a las identidades de IAM o a las instancias de Amazon EC2 . Estas políticas administradas permiten diferentes niveles de control sobre el acceso a los recursos y a las operaciones de API de Amazon ECR. Para obtener más información acerca de cada una de las operaciones de API mencionadas en estas políticas, consulte Acciones en la Referencia de la API de Amazon Elastic Container Registry.

AmazonEC2ContainerRegistryFullAccess

Puede adjuntar la política AmazonEC2ContainerRegistryFullAccess a las identidades de IAM.

Puede usar esta política administrada como punto de partida para crear su propia política de IAM en función de sus requisitos específicos. Por ejemplo, puede crear una política específica para proporcionar a un usuario o rol acceso completo de administrador con objeto de administrar el uso de Amazon ECR. Con la característica Políticas de ciclo de vida de Amazon ECR, puede especificar la administración del ciclo de vida de las imágenes en un repositorio. Los eventos de las políticas de ciclo de vida se notifican como CloudTrail eventos. Amazon ECR está integrado AWS CloudTrail para que pueda mostrar los eventos de su política de ciclo de vida directamente en la consola de Amazon ECR. La política de IAM administrada AmazonEC2ContainerRegistryFullAccess incluye el permiso cloudtrail:LookupEvents para facilitar este comportamiento.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • ecr— Permite a los directores el acceso total a todos los Amazon APIs ECR.

  • cloudtrail— Permite a los directores buscar los eventos de administración o los eventos de AWS CloudTrail Insights capturados por ellos. CloudTrail

La política AmazonEC2ContainerRegistryFullAccess es como sigue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Puede adjuntar la política AmazonEC2ContainerRegistryPowerUser a las identidades de IAM.

Esta política otorga permisos administrativos que permiten que los usuarios de IAM lean y escriban en los repositorios, pero no les permite eliminar los repositorios ni cambiar los documentos de la política aplicados a ellos.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • ecr: permite a las entidades principales leer y escribir en los repositorios, así como leer políticas de ciclo de vida. Las entidades de servicio no tienen permiso para eliminar repositorios o cambiar las políticas de ciclo de vida que se les aplican.

La política AmazonEC2ContainerRegistryPowerUser es como sigue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

Puede adjuntar la política AmazonEC2ContainerRegistryPullOnly a las identidades de IAM.

Esta política da permiso para extraer imágenes de contenedores de Amazon ECR. Si el registro está habilitado para caché de extracción, también permitirá que las extracciones importen una imagen de un registro principal.

Detalles de los permisos

Esta política incluye los siguientes permisos:

  • ecr: permite a las entidades de seguridad leer repositorios y sus respectivas políticas de ciclo de vida.

La política AmazonEC2ContainerRegistryPullOnly es como sigue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Puede adjuntar la política AmazonEC2ContainerRegistryReadOnly a las identidades de IAM.

Esta política otorga permisos de solo lectura a Amazon ECR. Esto incluye la capacidad de mostrar una lista de repositorios e imágenes en los repositorios. También incluye la capacidad de extraer imágenes de Amazon ECR con la CLI de Docker.

Detalles de los permisos

Esta política incluye los siguientes permisos:

  • ecr: permite a las entidades de seguridad leer repositorios y sus respectivas políticas de ciclo de vida.

La política AmazonEC2ContainerRegistryReadOnly es como sigue.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

No puede adjuntar la política de IAM administrada AWSECRPullThroughCache_ServiceRolePolicy a sus entidades de IAM. Esta política se adjunta a un rol vinculado a servicios que permite a Amazon ECR enviar imágenes a los repositorios a través del flujo de trabajo de extracción de caché. Para obtener más información, consulte Rol vinculado a servicios de Amazon ECR para la caché de extracción.

ECRReplicationServiceRolePolicy

No puede adjuntar la política de IAM administrada ECRReplicationServiceRolePolicy a sus entidades de IAM. Esta política se encuentra adjunta a un rol vinculado a un servicio que permite a Amazon ECR realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon ECR.

ECRTemplateServiceRolePolicy

No puede adjuntar la política de IAM administrada ECRTemplateServiceRolePolicy a sus entidades de IAM. Esta política se encuentra adjunta a un rol vinculado a un servicio que permite a Amazon ECR realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon ECR.

Amazon ECR actualiza las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon ECR desde el momento en que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de Amazon ECR.

Cambio Descripción Fecha

Amazon EC2 ContainerRegistryPullOnly — Nueva política

Amazon ECR ha agregado una política nueva que concede permisos de solo extracción a Amazon ECR.

 10 de octubre de 2024

ECRTemplateServiceRolePolicy: política nueva

Amazon ECR agregó una política nueva. Esta política está asociada con el rol vinculado a servicios ECRTemplateServiceRolePolicy para la característica de plantilla de creación de repositorios.

 20 de junio de 2024

AWSECRPullThroughCache_ServiceRolePolicy: actualización de una política actual

Amazon ECR agregó nuevos permisos a la política AWSECRPullThroughCache_ServiceRolePolicy. Estos permisos permiten a Amazon ECR recuperar el contenido cifrado de un secreto de Secrets Manager. Esto es necesario cuando se utiliza una regla de caché de extracción para almacenar en caché las imágenes de un registro anterior que requiere autenticación.

 15 de noviembre de 2023

AWSECRPullThroughCache_ServiceRolePolicy: política nueva

Amazon ECR agregó una política nueva. Esta política está asociada con el rol vinculado a servicios AWSServiceRoleForECRPullThroughCache para la característica de extracción de caché.

 29 de noviembre de 2021

ECRReplicationServiceRolePolicy: política nueva

Amazon ECR agregó una política nueva. Esta política está asociada con el rol vinculado a servicios AWSServiceRoleForECRReplication para la característica de replicación.

 4 de diciembre de 2020

Amazon EC2 ContainerRegistryFullAccess: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryFullAccess. Estos permisos permiten que las entidades de seguridad creen el rol vinculado al servicio de Amazon ECR.

 4 de diciembre de 2020

Amazon EC2 ContainerRegistryReadOnly: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryReadOnly que permite a las entidades de seguridad leer políticas del ciclo de vida, mostrar una lista de etiquetas y describir los resultados del escaneo para las imágenes.

 10 de diciembre de 2019

Amazon EC2 ContainerRegistryPowerUser: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryPowerUser. Estos permiten a las entidades de seguridad leer políticas del ciclo de vida, mostrar una lista de etiquetas y describir los resultados del escaneo para las imágenes.

 10 de diciembre de 2019

Amazon EC2 ContainerRegistryFullAccess: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryFullAccess. Permiten a los directores buscar los eventos de administración o los eventos de AWS CloudTrail Insights capturados por CloudTrail.

 10 de noviembre de 2017

Amazon EC2 ContainerRegistryReadOnly: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryReadOnly. Permiten a las entidades de seguridad describir imágenes de Amazon ECR.

 11 de octubre de 2016

Amazon EC2 ContainerRegistryPowerUser: actualización de una política existente

Amazon ECR agregó nuevos permisos a la política AmazonEC2ContainerRegistryPowerUser. Permiten a las entidades de seguridad describir imágenes de Amazon ECR.

 11 de octubre de 2016

Amazon EC2 ContainerRegistryReadOnly — Nueva política

Amazon ECR ha agregado una política nueva que concede permisos de solo lectura a Amazon ECR. Estos incluyen la capacidad de mostrar una lista de repositorios e imágenes en los repositorios. También incluyen la capacidad de extraer imágenes de Amazon ECR con la CLI de Docker.

 21 de diciembre de 2015

Amazon EC2 ContainerRegistryPowerUser — Nueva política

Amazon ECR agregó una política nueva que otorga permisos administrativos que permiten que los usuarios lean y escriban en los repositorios, pero no les permite eliminar los repositorios ni cambiar los documentos de la política aplicados a ellos.

 21 de diciembre de 2015

Amazon EC2 ContainerRegistryFullAccess — Nueva política

Amazon ECR agregó una política nueva. Esta política otorga acceso completo a Amazon ECR.

 21 de diciembre de 2015

Amazon ECR comenzó a realizar el seguimiento de los cambios

Amazon ECR comenzó a realizar un seguimiento de los cambios en las políticas AWS gestionadas.

 24 de junio de 2021

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.