Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Amazon Elastic Container Registry bekerja dengan IAM
Sebelum menggunakan IAM untuk mengelola akses ke Amazon ECR, Anda harus memahami fitur IAM mana yang tersedia untuk digunakan dengan Amazon ECR. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon ECR dan AWS layanan lainnya bekerja dengan IAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis Identitas Amazon ECR
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. Amazon ECR support tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di Amazon ECR menggunakan prefiks berikut sebelum tindakan: ecr: Misalnya, untuk memberikan izin kepada seseorang untuk menggambarkan instans DB dengan operasi CreateRepository API Amazon ECR, Anda menyertakan tindakan ecr:CreateRepository dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon ECR menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "ecr:action1", "ecr:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "ecr:Describe*"
Untuk melihat daftar tindakan Amazon ECR, lihatTindakan, Sumber Daya, dan kunci syarat untuk Amazon Elastic Elastic di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen kebijakan JSON Resource menentukan objek atau beberapa objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak support izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
"Resource": "*"
Sumber daya repositori Amazon ECR memiliki ARN berikut:
arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}
Untuk informasi selengkapnya tentang format ARN, lihat Nama Sumber Daya Amazon (ARN) dan Ruang Nama AWS Layanan.
Misalnya, untuk menentukan wilayah us-east-1 my-repo repositori dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"
Untuk menentukan semua repositori milik akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"
Untuk menentukan beberapa sumber daya dalam pernyataan tunggal, pisahkan ARN dengan koma.
"Resource": [ "resource1", "resource2"
Untuk melihat daftar jenis sumber daya Amazon ECR dan ARN-nya, lihatSumber Daya yang Ditetapkan oleh Amazon Elastic Container Registry dalam Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon Elastic Container Registry.
Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Elemen Condition (atau blok Condition) memungkinkan Anda menentukan kondisi di mana suatu pernyataan akan diterapkan. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi kondisional yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition dalam satu pernyataan, atau beberapa kunci dalam satu elemen Condition, AWS akan mengevaluasinya dengan menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tag yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tag di Panduan Pengguna IAM.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Amazon ECR menentukan set kunci syaratnya sendiri dan juga support penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Semua tindakan Amazon ECR support kunci syarat aws:ResourceTag dan ecr:ResourceTag. Untuk informasi selengkapnya, lihat Menggunakan Kontrol Akses Berbasis Tanda.
Untuk melihat daftar kunci syarat Amazon ECR, lihat Kondisi Kunci yang Ditetapkan oleh Amazon Elastic Container Registry dalam Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya yang mana Anda diperbolehkan menggunakan kunci syarat, lihat Tindakan yang Ditentukan oleh Amazon Elastic Container Registry.
Contoh-contoh
Untuk melihat contoh kebijakan berbasis identitas Amazon ECR, lihat Contoh kebijakan berbasis identitas Amazon Elastic Container Registry.
Kebijakan berbasis sumber daya Amazon ECR
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon ECR dan dengan syarat apa. Amazon ECR support kebijakan izin berbasis sumber daya untuk repositori Amazon ECR. Kebijakan berbasis sumber daya mengizinkan Anda memberikan izin penggunaan ke akun lain berdasarkan penggunaan sumber daya. Anda juga dapat menggunakan kebijakan berbasis sumber daya untuk mengizinkan layanan AWS mengakses repositori Amazon ECR Anda.
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Menambahkan pengguna utama lintas akun ke kebijakan berbasis sumber daya bagian dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun yang berbeda, Anda juga harus memberikan izin entitas utama untuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke prinsipal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat Bagaimana IAM role Berbeda dengan Kebijakan Berbasis Sumber Daya dalam Panduan Pengguna IAM.
Layanan Amazon ECR hanya support satu jenis kebijakan berbasis sumber daya yang disebut kebijakan repositori, yang terlampir pada repositori. Kebijakan ini menentukan entitas prinsipal (akun, pengguna, peran, dan pengguna gabungan) yang dapat melakukan tindakan pada repositori. Untuk mempelajari cara melampirkan kebijakan berbasis sumber daya ke repositori, lihat Kebijakan repositori pribadi.
catatan
Dalam kebijakan repositori Amazon ECR, elemen kebijakan Sid mendukung karakter tambahan dan spasi yang tidak didukung dalam kebijakan IAM.
Contoh-contoh
Untuk melihat contoh kebijakan berbasis sumber daya Amazon ECR, lihat Contoh kebijakan repositori pribadi,
Otorisasi berdasarkan tag Amazon ECR
Anda dapat melampirkan tanda di sumber daya Amazon ECR atau tanda yang lolos dalam permintaan untuk Amazon ECR. Untuk mengontrol akses berdasarkan tandanya, Anda memberikan informasi tanda di elemen syarat kebijakan dengan menggunakan kunci syarat ecr:ResourceTag/, key-nameaws:RequestTag/, atau key-nameaws:TagKeys. Untuk informasi lebih lanjut tentang penandaan Amazon ECR sumber daya, lihat Menandai repositori pribadi.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat Menggunakan Kontrol Akses Berbasis Tanda.
Peran Amazon ECR IAM
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan kredensial sementara dengan Amazon ECR
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Amazon ECR support penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon ECR mendukung peran terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan Peran Terkait Layanan untuk Amazon ECR.
