AWS politiques gérées pour Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Elastic Container Registry

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Amazon ECR fournit plusieurs politiques gérées que vous pouvez associer aux identités IAM ou aux instances Amazon EC2 . Ces politiques gérées permettent différents niveaux de contrôle sur l'accès aux ressources Amazon ECR et aux opérations d'API. Pour en savoir plus sur chaque opération d'API mentionnée dans ces politiques, consultezActions dans la Référence de l'API du registre de conteneur Amazon Elastic.

AmazonEC2ContainerRegistryFullAccess

Vous pouvez attacher la politique AmazonEC2ContainerRegistryFullAccess à vos identités IAM.

Vous pouvez utiliser cette politique gérée comme point de départ pour créer votre propre politique IAM en fonction de vos besoins spécifiques. Par exemple, vous pouvez créer une politique spécifique pour fournir à un utilisateur ou à un rôle un accès administrateur total pour gérer l'utilisation d'Amazon ECR. La fonctionnalité Politiques de cycle de vie Amazon ECR permet aux clients de spécifier la gestion du cycle de vie des images dans un référentiel. Les événements liés à la politique de cycle de vie sont signalés en tant qu' CloudTrail événements. Amazon ECR est intégré à Amazon ECR AWS CloudTrail afin d'afficher les événements relatifs à votre politique de cycle de vie directement dans la console Amazon ECR. La politique gérée IAM AmazonEC2ContainerRegistryFullAccess l'autorisation cloudtrail:LookupEvents afin de faciliter ce comportement.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr— Permet aux principaux un accès complet à tous les Amazon APIs ECR.

  • cloudtrail— Permet aux principaux de consulter les événements de gestion ou les événements AWS CloudTrail Insights capturés par CloudTrail.

La politique AmazonEC2ContainerRegistryFullAccess est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Vous pouvez attacher la politique AmazonEC2ContainerRegistryPowerUser à vos identités IAM.

Cette politique accorde des autorisations d'administration qui permettent aux utilisateurs IAM de lire et d'écrire dans des référentiels, mais elle ne leur permet pas de supprimer des référentiels ni de modifier les documents de la politique qui leur sont appliqués.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr— Permet aux principaux de lire et d'écrire dans les référentiels, ainsi que de lire les politiques de cycle de vie. Les mandataires ne sont pas autorisées à supprimer des référentiels ni à modifier les politiques de cycle de vie qui leur sont appliquées.

La politique AmazonEC2ContainerRegistryPowerUser est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

Vous pouvez attacher la politique AmazonEC2ContainerRegistryPullOnly à vos identités IAM.

Cette politique autorise l'extraction d'images de conteneurs depuis Amazon ECR. Si le registre est activé pour le cache d'extraction, il autorisera également les extractions pour importer une image depuis un registre en amont.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr – permet aux mandataires de lire les référentiels et leurs politiques de cycle de vie respectives.

La politique AmazonEC2ContainerRegistryPullOnly est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Vous pouvez attacher la politique AmazonEC2ContainerRegistryReadOnly à vos identités IAM.

Cette politique accorde des autorisations qui permettent un accès en lecture seule à Amazon ECR. Cela inclut la possibilité de répertorier les référentiels et les images dans les référentiels. Elle offre également la possibilité d'extraire des images depuis Amazon ECR avec la CLI Docker.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr – permet aux mandataires de lire les référentiels et leurs politiques de cycle de vie respectives.

La politique AmazonEC2ContainerRegistryReadOnly est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Vous ne pouvez pas attacher la politique IAM gérée AWSECRPullThroughCache_ServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon ECR de transférer des images vers vos référentiels via le flux de travail de mise en cache par extraction. Pour de plus amples informations, veuillez consulter Rôle lié à un service Amazon ECR pour la mise en cache par extraction.

ECRReplicationServiceRolePolicy

Vous ne pouvez pas attacher la politique IAM gérée ECRReplicationServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon ECR d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECR.

ECRTemplateServiceRolePolicy

Vous ne pouvez pas attacher la politique IAM gérée ECRTemplateServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon ECR d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour Amazon ECR.

Amazon ECR met à jour les politiques AWS gérées

Consultez les informations relatives aux mises à jour apportées aux politiques AWS gérées pour Amazon ECR depuis le moment où ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS sur la page de l'historique des documents Amazon ECR.

Modification Description Date

Amazon EC2 ContainerRegistryPullOnly — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique qui accorde des autorisations d'extraction uniquement à Amazon ECR.

 10 octobre 2024

ECRTemplateServiceRolePolicy : nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle ECRTemplateServiceRolePolicy lié au service pour la fonctionnalité de modèle de création de référentiel.

 20 juin 2024

AWSECRPullThroughCache_ServiceRolePolicy – Mise à jour d’une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AWSECRPullThroughCache_ServiceRolePolicy. Ces autorisations permettent à Amazon ECR de récupérer le contenu chiffré d'un secret de Secrets Manager. Cela est nécessaire lors de l'utilisation d'une règle de mise en cache par extraction pour mettre en cache des images provenant d'un registre en amont qui nécessite une authentification.

 15 novembre 2023

AWSECRPullThroughCache_ServiceRolePolicy : nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle lié à un service AWSServiceRoleForECRPullThroughCache pour la fonction de mise en cache par extraction.

 29 novembre 2021

ECRReplicationServiceRolePolicy : nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle lié à un service AWSServiceRoleForECRReplication pour la fonction de réplication.

 4 décembre 2020

Amazon EC2 ContainerRegistryFullAccess — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryFullAccess. Ces autorisations permettent aux mandataires de créer un rôle lié au service Amazon ECR.

 4 décembre 2020

Amazon EC2 ContainerRegistryReadOnly — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryReadOnly qui permettent aux mandataires de lire les politiques de cycle de vie, de répertorier les balises et de décrire les résultats de l'analyse des images.

 10 décembre 2019

Amazon EC2 ContainerRegistryPowerUser — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryPowerUser. Elles permettent aux mandataires de lire les politiques de cycle de vie, de répertorier les balises et de décrire les résultats de l'analyse des images.

 10 décembre 2019

Amazon EC2 ContainerRegistryFullAccess — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryFullAccess. Ils permettent aux directeurs de rechercher les événements de gestion ou les événements AWS CloudTrail Insights capturés par CloudTrail.

 le 10 novembre 2017

Amazon EC2 ContainerRegistryReadOnly — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryReadOnly. Elles permettent aux mandataires de décrire les images Amazon ECR.

 11 octobre 2016

Amazon EC2 ContainerRegistryPowerUser — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la politique AmazonEC2ContainerRegistryPowerUser. Elles permettent aux mandataires de décrire les images Amazon ECR.

 11 octobre 2016

Amazon EC2 ContainerRegistryReadOnly — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique qui accorde des autorisations en lecture seule à Amazon ECR. Ces autorisations offrent la possibilité de répertorier les référentiels et les images dans les référentiels. Elles offrent également la possibilité d'extraire des images depuis Amazon ECR à l'aide de la CLI Docker.

 21 décembre 2015

Amazon EC2 ContainerRegistryPowerUser — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique qui accorde des autorisations d'administration permettant aux utilisateurs de lire et d'écrire dans des référentiels, mais elle ne leur permet pas de supprimer des référentiels ni de modifier les documents de la politique qui leur sont appliqués.

 21 décembre 2015

Amazon EC2 ContainerRegistryFullAccess — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique accorde à un accès total à Amazon ECR.

 21 décembre 2015

Amazon ECR a commencé à assurer le suivi des modifications

Amazon ECR a commencé à suivre les modifications apportées aux politiques AWS gérées.

 24 juin 2021