Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels Exemple : autoriser les utilisateurs root à accéder à plusieurs comptes Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels avec un préfixe prod-.

Exemples de politiques de registre privé pour Amazon ECR

Les exemples suivants illustrent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations octroyées aux utilisateurs sur votre registre Amazon ECR.

Note

Dans chaque exemple, si l'action ecr:CreateRepository est supprimée de votre instruction d'autorisation de registre, la réplication pourra toujours se produire. Toutefois, pour une réplication réussie, vous devez créer des référentiels portant le même nom dans votre compte.

Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels

La politique d'autorisation de registre suivante permet à l'utilisateur root d'un compte source de répliquer tous les référentiels.


{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Exemple : autoriser les utilisateurs root à accéder à plusieurs comptes

La politique d'autorisation de registre suivante comporte deux déclarations. Chaque instruction permet à l'utilisateur root d'un compte source de répliquer tous les référentiels.


{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        },
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/*"
            ]
        }
    ]
}

Exemple : Autoriser l'utilisateur racine d'un compte source à répliquer tous les référentiels avec un préfixe `prod-`.

La politique d'autorisation de registre suivante permet à l'utilisateur root d'un compte source de répliquer tous les référentiels commençant par. prod-


{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"ReplicationAccessCrossAccount",
            "Effect":"Allow",
            "Principal":{
                "AWS":"arn:aws:iam::source_account_id:root"
            },
            "Action":[
                "ecr:CreateRepository",
                "ecr:ReplicateImage"
            ],
            "Resource": [
                "arn:aws:ecr:us-west-2:your_account_id:repository/prod-*"
            ]
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations de registre

Octroi d'autorisations pour la réplication entre comptes