方法 Amazon Elastic Container Registry 以下と連携 IAM - Amazon ECR

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

方法 Amazon Elastic Container Registry 以下と連携 IAM

使用する前に IAM 管理するための Amazon ECR何を IAM 機能は、 Amazon ECR. どのように Amazon ECR およびその他 AWS サービスはIAMと連携する。参照 AWS 連携するサービス IAMIAM ユーザーガイド.

Amazon ECR アイデンティティベースのポリシー

付き IAM IDベースのポリシーでは、許可または拒否のアクションとリソース、およびアクションの許可または拒否の条件を指定できます。 Amazon ECR は、特定のアクション、リソース、条件キーをサポートします。JSONポリシーで使用するすべての要素については、以下を参照してください。 IAM JSON ポリシー要素参照IAM ユーザーガイド.

Actions

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

のポリシーアクションは、アクションの前に、次のプレフィックスである Amazon ECR を使用します。ecr:。 たとえば、 Amazon ECR リポジトリと Amazon ECR CreateRepository API 操作では、 ecr:CreateRepository 行動に取り組めます。ポリシーステートメントには、 Action または NotAction 要素。 Amazon ECR このサービスで実行できるタスクを説明するアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには、以下のようにコンマで区切ります。

"Action": [ "ecr:action1", "ecr:action2"

ワイルドカード (*) を使用して複数のアクションを指定できます。たとえば、Describe という単語で始まるすべてのアクションを指定するには、以下のアクションを含めます。

"Action": "ecr:Describe*"

のリストを表示するには Amazon ECR アクション、を参照 のアクション、リソース、および条件キー Amazon Elastic Container RegistryIAM ユーザーガイド.

Resources

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。

A Amazon ECR リポジトリ リソースには、次のARNがあります。

arn:${Partition}:ecr:${Region}:${Account}:repository/${Repository-name}

ARNの形式の詳細については、以下を参照してください。 Amazonリソース名(ARN)および AWS サービスネームスペース.

たとえば、 my-repo リポジトリの us-east-1 明細書の地域:次のARNを使用してください。

"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/my-repo"

特定のアカウントに属するすべての リポジトリを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:ecr:us-east-1:123456789012:repository/*"

単一のステートメントで複数のリソースを指定するには、ARN 間をカンマで区切ります。

"Resource": [ "resource1", "resource2"

のリストを表示するには Amazon ECR リソースタイプとそのARNについては、を参照してください。 リソースの定義者 Amazon Elastic Container RegistryIAM ユーザーガイド. 各リソースのARNを指定できるアクションについては、を参照してください。 アクション定義者 Amazon Elastic Container Registry.

条件キー

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。

Amazon ECR は独自の一連の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべてを表示するには AWS グローバル条件キー、参照 AWS グローバル条件コンテキスト キーIAM ユーザーガイド.

ほとんど Amazon ECR アクションは aws:ResourceTag および ecr:ResourceTag 条件キー。詳細については、「」を参照してください。タグベースのアクセスコントロールを使用する.

のリストを表示するには Amazon ECR 条件キー、を参照 条件キーの定義者 Amazon Elastic Container RegistryIAM ユーザーガイド. 条件キーを使用できるアクションとリソースについては、以下を参照してください。 アクション定義者 Amazon Elastic Container Registry.

Examples

アイデンティティベースのポリシーの例を表示するには、「Amazon ECR」を参照してください。Amazon Elastic Container Registry アイデンティティベースのポリシーの例.

Amazon ECR リソースベースのポリシー

リソースベースのポリシーは、指定されたプリンシパルが Amazon ECR リソースと、どのような条件下にありますか? Amazon ECR は、 Amazon ECR リポジトリです。リソースベースのポリシーでは、リソースごとに他のアカウントに使用許可を付与することができます。リソース ベースのポリシーを使用して、 AWS サービスにアクセスして、 Amazon ECR リポジトリです。

クロスアカウントアクセスを有効にするには、アカウント全体または IAM 別の科目のエンティティを リソースベースのポリシーのプリンシパル. リソースベースのポリシーにクロスアカウントのプリンシパルを追加しても、信頼関係は半分しか確立されない点に注意してください。プリンシパルとリソースが異なる AWS アカウントにある場合は、リソースにアクセスするためのアクセス許可をプリンシパルエンティティにも付与する必要があります。アクセス許可は、アイデンティティベースのポリシーをエンティティにアタッチすることで付与します。ただし、リソースベースのポリシーで、同じアカウントのプリンシパルへのアクセス権が付与されている場合は、アイデンティティベースのポリシーをさらに付与する必要はありません。詳細については、以下を参照してください。 方法 IAM リソースベースのポリシーとは異なるロール IAM ユーザーガイド.

は、 Amazon ECR サービスは、 リポジトリポリシーは、 リポジトリ. このポリシーは、リポジトリに対してアクションを実行できるプリンシパルエンティティ (アカウント、ユーザー、ロール、フェデレーティッドユーザー) を定義します。

リソースベースのポリシーをリポジトリにアタッチする方法については、「」を参照してください。リポジトリポリシー.

Examples

リソースベースのポリシーの例を表示するには、「Amazon ECR」を参照してください。リポジトリ ポリシーの例,

以下に基づく承認 Amazon ECR タグ

タグは次に添付できます: Amazon ECR 要求のリソースまたはパス タグ Amazon ECR. タグに基づいてアクセスを制御するには、 条件要素 利用しているポリシーの ecr:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys 条件キー。 リソースのタグ付けの詳細については、「Amazon ECR」を参照してください。をタグ付けする Amazon ECR リポジトリ.

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「」を参照してください。タグベースのアクセスコントロールを使用する.

Amazon ECR IAM 役割

A IAM 役割 は、 AWS 特定の権限を持つアカウント。

を使用した一時的な認証情報の使用Amazon ECR

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時セキュリティ証明書を取得するには、 AWS STS API操作(例: 役割を引き受ける または GetFederationToken(フェデレーショントークンを取得).

Amazon ECRでは、一時認証情報の使用をサポートしています。

サービスにリンクされたロール

サービス連携ロール 許可 AWS サービスを使用して、他のサービスのリソースにアクセスし、ユーザーに代わってアクションを完了します。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。A IAM 管理者は、サービスリンクされた役割の権限を表示できるが、編集できない。

Amazon ECR では、サービスにリンクされたロールがサポートされていません。