リポジトリポリシー - Amazon ECR

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

リポジトリポリシー

Amazon ECR では、リソースベースのアクセス権限を使用してリポジトリへのアクセスを制御します。リソースベースのアクセス権限により、どの IAM ユーザーあるいはロールがリポジトリにアクセスでき、どのようなアクションを実行できるかを指定できます。デフォルトでは、リポジトリの所有者のみリポジトリにアクセスできます。リポジトリへの追加のアクセス権限を許可するポリシードキュメントを適用できます。

リポジトリ ポリシーと IAM ポリシー

Amazon ECR リポジトリポリシーは、 IAM 個人のアクセスを制御するための範囲設定および特に使用されるポリシー Amazon ECR リポジトリです。 IAM ポリシーは通常、 Amazon ECR 特定のリソースへのアクセスを制御するためにも使用できます。

両方 Amazon ECR リポジトリポリシーとリポジトリポリシート IAM ポリシーは、どのアクションを IAM ユーザーまたはロールがリポジトリ上で実行されることがあります。ユーザーあるいはロールがレポジトリから 1 つのアクションの実行を許可されていながら、IAM ポリシーからはアクセス権限を拒否される場合 (またはその逆の場合)、そのアクションは拒否されます。ユーザーあるいはロールは、レポジトリポリシーまたは IAM ポリシーのいずれかのみでアクションへのアクセスが許可されていることを必要とし、その両方でこのアクションが許可されている必要はありません。

重要

Amazon ECR では、ユーザーがレジストリに対して認証したり、Amazon ECR レポジトリとの間でイメージをプッシュまたはプルしたりできるためには、事前に IAM ポリシーを通じて ecr:GetAuthorizationToken API へのアクセス権限を許可されている必要があります。Amazon ECR は、さまざまなレベルに応じて複数の IAM 管理ポリシーを提供しています。詳細については、「Amazon Elastic Container Registry アイデンティティベースのポリシーの例」を参照してください。

これらのいずれかのポリシータイプを使用して、次の例に示すようにレポジトリへのアクセスを制御します。

この例は、 Amazon ECR 特定の IAM リポジトリおよびリポジトリ内のイメージを説明するユーザー。

{ "Version": "2008-10-17", "Statement": [{ "Sid": "ECR Repository Policy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": [ "ecr:DescribeImages", "ecr:DescribeRepositories" ] }] }

この例は、リソースパラメータを使用してポリシーで 1 つのレポジトリ (レポジトリの完全な ARN で指定) を対象とすることで、上記と同じ目的を達成する IAM ポリシーを示しています。Amazon リソースネーム (ARN) 形式の詳細については、「」を参照してください。Resources.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "ECR Repository Policy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": [ "ecr:DescribeImages", "ecr:DescribeRepositories" ], "Resource": [ "arn:aws:ecr:region:account-id:repository/repository-name" ] }] }