AWS kebijakan terkelola untuk Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Elastic Container Registry

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

Amazon ECR menyediakan beberapa kebijakan terkelola yang dapat Anda lampirkan ke IAM identitas atau EC2 instans Amazon. Kebijakan terkelola ini memungkinkan tingkat kontrol yang berbeda atas akses ke ECR sumber daya dan API operasi Amazon. Untuk informasi selengkapnya tentang setiap API operasi yang disebutkan dalam kebijakan ini, lihat Tindakan di APIReferensi Registri Amazon Elastic Container.

AmazonEC2ContainerRegistryFullAccess

Anda dapat melampirkan AmazonEC2ContainerRegistryFullAccess kebijakan ke IAM identitas Anda.

Anda dapat menggunakan kebijakan terkelola ini sebagai titik awal untuk membuat IAM kebijakan Anda sendiri berdasarkan persyaratan spesifik Anda. Misalnya, Anda dapat membuat kebijakan khusus untuk menyediakan pengguna atau peran dengan akses administrator penuh untuk mengelola penggunaan AmazonECR. Dengan fitur Kebijakan ECR Siklus Hidup Amazon, Anda dapat menentukan manajemen siklus hidup gambar dalam repositori. Peristiwa kebijakan siklus hidup dilaporkan sebagai CloudTrail peristiwa. Amazon ECR terintegrasi AWS CloudTrail sehingga dapat menampilkan peristiwa kebijakan siklus hidup Anda secara langsung di konsol AmazonECR. IAMKebijakan AmazonEC2ContainerRegistryFullAccess terkelola mencakup cloudtrail:LookupEvents izin untuk memfasilitasi perilaku ini.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ecr— Memungkinkan kepala sekolah akses penuh ke semua Amazon. ECR APIs

  • cloudtrail— Memungkinkan kepala sekolah untuk mencari acara manajemen atau peristiwa AWS CloudTrail Wawasan yang ditangkap oleh. CloudTrail

Kebijakan AmazonEC2ContainerRegistryFullAccess adalah sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Anda dapat melampirkan AmazonEC2ContainerRegistryPowerUser kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan IAM pengguna membaca dan menulis ke repositori, tetapi tidak memungkinkan mereka untuk menghapus repositori atau mengubah dokumen kebijakan yang diterapkan padanya.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ecr – Mengizinkan prinsipal untuk membaca dan menulis ke respositori, serta membaca kebijakan siklus hidup. Prinsipal tidak diberikan izin untuk menghapus repositori atau mengubah kebijakan siklus hidup yang diterapkan padanya.

Kebijakan AmazonEC2ContainerRegistryPowerUser adalah sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Anda dapat melampirkan AmazonEC2ContainerRegistryReadOnly kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin hanya-baca ke Amazon. ECR Ini termasuk kemampuan untuk membuat daftar repositori dan citra dalam repositori. Ini juga mencakup kemampuan untuk menarik gambar dari Amazon ECR dengan DockerCLI.

Detail izin

Kebijakan ini memberikan izin berikut:

  • ecr – mengizinkan prinsipal untuk membaca repositori dan kebijakan siklus hidupnya masing-masing.

Kebijakan AmazonEC2ContainerRegistryReadOnly adalah sebagai berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Anda tidak dapat melampirkan IAM kebijakan AWSECRPullThroughCache_ServiceRolePolicy terkelola ke IAM entitas Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Amazon ECR untuk mendorong gambar ke repositori Anda melalui alur kerja pull through cache. Untuk informasi selengkapnya, lihat ECRPeran terkait layanan Amazon untuk menarik cache.

ECRReplicationServiceRolePolicy

Anda tidak dapat melampirkan IAM kebijakan ECRReplicationServiceRolePolicy terkelola ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon ECR melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECR.

ECRTemplateServiceRolePolicy

Anda tidak dapat melampirkan IAM kebijakan ECRTemplateServiceRolePolicy terkelola ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon ECR melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon ECR.

Amazon ECR memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon ECR sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di halaman riwayat ECR Dokumen Amazon.

Perubahan Deskripsi Tanggal

ECRTemplateServiceRolePolicy – Kebijakan baru

Amazon ECR menambahkan kebijakan baru. Kebijakan ini dikaitkan dengan peran ECRTemplateServiceRolePolicy terkait layanan untuk fitur templat pembuatan repositori.

 Juni 20, 2024

AWSECRPullThroughCache_ ServiceRolePolicy — Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AWSECRPullThroughCache_ServiceRolePolicy kebijakan tersebut. Izin ini memungkinkan Amazon ECR untuk mengambil konten terenkripsi dari rahasia Secrets Manager. Ini diperlukan saat menggunakan aturan pull through cache untuk menyimpan gambar dari registri hulu yang memerlukan otentikasi.

 15 November 2023

AWSECRPullThroughCache_ ServiceRolePolicy — Kebijakan baru

Amazon ECR menambahkan kebijakan baru. Kebijakan ini dikaitkan dengan peran AWSServiceRoleForECRPullThroughCache terkait layanan untuk fitur pull through cache.

 29 November 2021

ECRReplicationServiceRolePolicy – Kebijakan baru

Amazon ECR menambahkan kebijakan baru. Kebijakan ini dikaitkan dengan peran AWSServiceRoleForECRReplication terkait layanan untuk fitur replikasi.

 4 Desember 2020

Amazon EC2ContainerRegistryFullAccess - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryFullAccess kebijakan tersebut. Izin ini memungkinkan prinsipal untuk membuat peran terkait layanan Amazon. ECR

 4 Desember 2020

Amazon EC2ContainerRegistryReadOnly - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryReadOnly kebijakan yang memungkinkan prinsipal membaca kebijakan siklus hidup, mencantumkan tag, dan menjelaskan temuan pemindaian untuk gambar.

 10 Desember 2019

Amazon EC2ContainerRegistryPowerUser - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryPowerUser kebijakan tersebut. Mereka mengizinkan prinsipal untuk membaca kebijakan siklus hidup, daftar tanda, dan menjelaskan temuan pemindaian untuk citra.

 10 Desember 2019

Amazon EC2ContainerRegistryFullAccess - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryFullAccess kebijakan tersebut. Mereka memungkinkan kepala sekolah untuk mencari acara manajemen atau peristiwa AWS CloudTrail Wawasan yang ditangkap oleh. CloudTrail

 10 November 2017

Amazon EC2ContainerRegistryReadOnly - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryReadOnly kebijakan tersebut. Mereka memungkinkan kepala sekolah untuk menggambarkan gambar Amazon. ECR

 11 Oktober 2016

Amazon EC2ContainerRegistryPowerUser - Perbarui ke kebijakan yang ada

Amazon ECR menambahkan izin baru ke AmazonEC2ContainerRegistryPowerUser kebijakan tersebut. Mereka memungkinkan kepala sekolah untuk menggambarkan gambar Amazon. ECR

 11 Oktober 2016

Amazon EC2ContainerRegistryReadOnly - Kebijakan baru

Amazon ECR menambahkan kebijakan baru yang memberikan izin hanya-baca ke Amazon. ECR Izin ini mencakup kemampuan untuk membuat daftar repositori dan citra dalam repositori. Mereka juga menyertakan kemampuan untuk menarik gambar dari Amazon ECR dengan DockerCLI.

 21 Desember 2015

Amazon EC2ContainerRegistryPowerUser - Kebijakan baru

Amazon ECR menambahkan kebijakan baru yang memberikan izin administratif yang memungkinkan usrs membaca dan menulis ke repositori tetapi tidak mengizinkan mereka untuk menghapus repositori atau mengubah dokumen kebijakan yang diterapkan padanya.

 21 Desember 2015

Amazon EC2ContainerRegistryFullAccess - Kebijakan baru

Amazon ECR menambahkan kebijakan baru. Kebijakan ini memberikan akses penuh ke AmazonECR.

 21 Desember 2015

Amazon ECR mulai melacak perubahan

Amazon ECR mulai melacak perubahan untuk kebijakan AWS terkelola.

 24 Juni 2021