Amazon ECR
ユーザーガイド (API バージョン 2015-09-21)

Amazon ECR IAM のポリシーおよびロール

デフォルトでは、IAM ユーザーには Amazon Elastic Container Registry (Amazon ECR) リソースを作成または変更、または Amazon ECR API を使用するタスクを実行する権限がありません。(つまり、Amazon ECR コンソールまたは AWS CLI を使用して実行することもできません)。 IAM ユーザーがリソースを作成または変更、およびタスクを実行できるようにするには、IAM ポリシーを作成する必要があります。これによって、必要な特定のリソースおよび API オペレーションを使用するためのアクセス許可を IAM ユーザーに付与する必要があります。続いて、それらのアクセス権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

ポリシーをユーザーまたはユーザーのグループにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。詳細については、IAM ユーザーガイド の「アクセス権限とポリシー」と「IAM ポリシーの管理」を参照してください。

同様に、Amazon ECS コンテナインスタンスはユーザーの代わりに Amazon ECR API を呼び出して、Amazon ECS のタスク定義で使用される Docker イメージを取得する必要があります。ユーザーの認証情報を使用して認証する必要があります。この認証は、コンテナインスタンスの IAM ロールを作成し、コンテナインスタンスの起動時にそのロールをコンテナインスタンスに関連付けることにより行われます。詳細については、Amazon Elastic Container Service Developer Guide の「Amazon ECS コンテナインスタンスの IAM ロール」を参照してください。IAM ロールの詳細については、IAM ユーザーガイドの「IAM ロール」を参照してください。

はじめに

IAM ポリシーは、1 つ以上の Amazon ECR オペレーションを使用するアクセス権限を付与または拒否する必要があります。さらに、このオペレーションで使用できるリソース (すべてのリソースか、場合によっては特定のリソース) も指定する必要があります。このポリシーには、リソースに適用する条件も含めることができます。

Amazon ECR では、リソースレベルのアクセス許可が部分的にサポートされます。これは、一部の Amazon ECS API オペレーションでは、ユーザーがそのオペレーションに使用できるリソースを指定できないことを意味します。代わりに、ユーザーがそのオペレーションにすべてのリソースを使用することを許可する必要があります。