태그 기반 액세스 제어 사용 - Amazon ECR

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

태그 기반 액세스 제어 사용

Amazon ECR CreateRepository API 작업을 사용하면 리포지토리를 생성할 때 태그를 지정할 수 있습니다. 자세한 정보는 프라이빗 리포지토리 태깅을 참조하세요.

사용자가 생성 시 리포지토리에 태그를 지정할 수 있으려면 리소스를 생성하는 작업을 사용할 권한이 있어야 합니다(예: ecr:CreateRepository). 리소스 생성 작업에서 태그가 지정되면 Amazon은 ecr:CreateRepository 작업에서 추가 권한 부여를 수행해 사용자에게 태그를 생성할 권한이 있는지 확인합니다.

IAM 정책을 통해 태그 기반 액세스 제어를 사용할 수 있습니다. 예를 들면 다음과 같습니다.

다음 정책에서는 사용자가 리포지토리를 생성하거나 key=environment,value=dev로 태그를 지정하도록 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateTaggedRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:CreateRepository"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        },
        {
            "Sid": "AllowTagRepository",
            "Effect": "Allow",
            "Action": [
                "ecr:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/environment": "dev"
                }
            }
        }
    ]
}

다음 정책에서는 사용자가 key=environment,value=prod로 태그를 지정하지 않은 모든 리포지토리에 액세스하도록 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ecr:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ecr:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/environment": "prod"
                }
            }
        }
    ]
}