AWS politiques gérées pour Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Elastic Container Registry

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Amazon ECR fournit plusieurs politiques gérées que vous pouvez associer à IAM des identités ou à des EC2 instances Amazon. Ces politiques gérées permettent différents niveaux de contrôle sur l'accès aux ECR ressources et aux API opérations d'Amazon. Pour plus d'informations sur chaque API opération mentionnée dans ces politiques, consultez la section Actions du Amazon Elastic Container Registry API Reference.

AmazonEC2ContainerRegistryFullAccess

Vous pouvez associer la AmazonEC2ContainerRegistryFullAccess politique à votre IAM identité.

Vous pouvez utiliser cette politique gérée comme point de départ pour créer votre propre IAM politique en fonction de vos besoins spécifiques. Par exemple, vous pouvez créer une politique spécifique pour fournir à un utilisateur ou à un rôle un accès administrateur complet afin de gérer l'utilisation d'AmazonECR. Grâce à la fonctionnalité Amazon ECR Lifecycle Policies, vous pouvez définir la gestion du cycle de vie des images d'un référentiel. Les événements liés à la politique de cycle de vie sont signalés en tant qu' CloudTrail événements. Amazon ECR est intégré à Amazon AWS CloudTrail afin de pouvoir afficher les événements relatifs à votre politique de cycle de vie directement dans la ECR console Amazon. La IAM politique AmazonEC2ContainerRegistryFullAccess gérée inclut l'cloudtrail:LookupEventsautorisation de faciliter ce comportement.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr— Permet aux principaux un accès complet à tous les Amazon ECRAPIs.

  • cloudtrail— Permet aux principaux de consulter les événements de gestion ou les événements AWS CloudTrail Insights capturés par CloudTrail.

La politique AmazonEC2ContainerRegistryFullAccess est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Vous pouvez associer la AmazonEC2ContainerRegistryPowerUser politique à votre IAM identité.

Cette politique accorde des autorisations administratives qui permettent aux IAM utilisateurs de lire et d'écrire dans des référentiels, mais ne leur permet pas de supprimer des référentiels ou de modifier les documents de politique qui leur sont appliqués.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr— Permet aux principaux de lire et d'écrire dans les référentiels, ainsi que de lire les politiques de cycle de vie. Les mandataires ne sont pas autorisées à supprimer des référentiels ni à modifier les politiques de cycle de vie qui leur sont appliquées.

La politique AmazonEC2ContainerRegistryPowerUser est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Vous pouvez associer la AmazonEC2ContainerRegistryReadOnly politique à votre IAM identité.

Cette politique accorde des autorisations de lecture seule à Amazon. ECR Cela inclut la possibilité de répertorier les référentiels et les images dans les référentiels. Il inclut également la possibilité d'extraire des images d'Amazon ECR avec le DockerCLI.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ecr – permet aux mandataires de lire les référentiels et leurs politiques de cycle de vie respectives.

La politique AmazonEC2ContainerRegistryReadOnly est la suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Vous ne pouvez pas associer la IAM politique AWSECRPullThroughCache_ServiceRolePolicy gérée à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon de transférer des images ECR vers vos référentiels par le biais du flux de travail d'extraction du cache. Pour de plus amples informations, veuillez consulter Rôle ECR lié à un service Amazon pour le cache d'extraction.

ECRReplicationServiceRolePolicy

Vous ne pouvez pas associer la IAM politique ECRReplicationServiceRolePolicy gérée à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet ECR à Amazon d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon ECR.

ECRTemplateServiceRolePolicy

Vous ne pouvez pas associer la IAM politique ECRTemplateServiceRolePolicy gérée à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet ECR à Amazon d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon ECR.

Amazon ECR met à jour AWS ses politiques gérées

Consultez les informations relatives aux mises à jour apportées aux politiques AWS gérées pour Amazon ECR depuis le moment où ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des ECR documents Amazon.

Modification Description Date

ECRTemplateServiceRolePolicy – Nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle ECRTemplateServiceRolePolicy lié au service pour la fonctionnalité de modèle de création de référentiel.

 20 juin 2024

AWSECRPullThroughCache_ ServiceRolePolicy — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AWSECRPullThroughCache_ServiceRolePolicy politique. Ces autorisations permettent ECR à Amazon de récupérer le contenu chiffré d'un secret de Secrets Manager. Cela est nécessaire lors de l'utilisation d'une règle de mise en cache par extraction pour mettre en cache des images provenant d'un registre en amont qui nécessite une authentification.

 15 novembre 2023

AWSECRPullThroughCache_ ServiceRolePolicy — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle lié à un service AWSServiceRoleForECRPullThroughCache pour la fonction de mise en cache par extraction.

 29 novembre 2021

ECRReplicationServiceRolePolicy – Nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique est associée au rôle lié à un service AWSServiceRoleForECRReplication pour la fonction de réplication.

 4 décembre 2020

Amazon EC2ContainerRegistryFullAccess — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryFullAccess politique. Ces autorisations permettent aux principaux de créer le rôle lié au ECR service Amazon.

 4 décembre 2020

Amazon EC2ContainerRegistryReadOnly — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryReadOnly politique qui permettent aux directeurs de lire les politiques relatives au cycle de vie, de répertorier les balises et de décrire les résultats de numérisation des images.

 10 décembre 2019

Amazon EC2ContainerRegistryPowerUser — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryPowerUser politique. Elles permettent aux mandataires de lire les politiques de cycle de vie, de répertorier les balises et de décrire les résultats de l'analyse des images.

 10 décembre 2019

Amazon EC2ContainerRegistryFullAccess — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryFullAccess politique. Ils permettent aux directeurs de rechercher les événements de gestion ou les événements AWS CloudTrail Insights capturés par CloudTrail.

 le 10 novembre 2017

Amazon EC2ContainerRegistryReadOnly — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryReadOnly politique. Ils permettent aux directeurs de décrire les ECR images Amazon.

 11 octobre 2016

Amazon EC2ContainerRegistryPowerUser — Mise à jour d'une politique existante

Amazon ECR a ajouté de nouvelles autorisations à la AmazonEC2ContainerRegistryPowerUser politique. Ils permettent aux directeurs de décrire les ECR images Amazon.

 11 octobre 2016

Amazon EC2ContainerRegistryReadOnly — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique qui accorde des autorisations de lecture seule à Amazon. ECR Ces autorisations offrent la possibilité de répertorier les référentiels et les images dans les référentiels. Ils incluent également la possibilité d'extraire des images d'Amazon ECR avec le DockerCLI.

 21 décembre 2015

Amazon EC2ContainerRegistryPowerUser — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique qui accorde des autorisations administratives permettant aux utilisateurs de lire et d'écrire dans des référentiels, mais ne leur permet pas de supprimer des référentiels ou de modifier les documents de politique qui leur sont appliqués.

 21 décembre 2015

Amazon EC2ContainerRegistryFullAccess — Nouvelle politique

Amazon ECR a ajouté une nouvelle politique. Cette politique accorde un accès complet à AmazonECR.

 21 décembre 2015

Amazon ECR a commencé à suivre les modifications

Amazon ECR a commencé à suivre les modifications apportées aux politiques AWS gérées.

 24 juin 2021