AWS Amazon Elastic Container Registry에 대한 관리형 정책 - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryPullOnlyAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicy정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon Elastic Container Registry에 대한 관리형 정책

AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

Amazon ECR은 IAM 자격 증명이나 Amazon EC2 인스턴스에 연결할 수 있는 여러 개의 관리형 정책을 제공합니다. 이러한 관리형 정책은 Amazon ECR 리소스 및 API 작업에 대한 액세스 제어 수준을 다양화할 수 있습니다. 이러한 정책에 언급되는 각 API 작업에 대한 자세한 내용은 Amazon Elastic Container Registry API 참조작업 단원을 참조하십시오.

AmazonEC2ContainerRegistryFullAccess

AmazonEC2ContainerRegistryFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 관리형 정책을 시작점으로 사용하여 특정 요구 사항에 따라 고유한 IAM 정책을 생성할 수 있습니다. 예를 들어 사용자나 역할에 Amazon ECR 사용을 관리할 전체 관리자 액세스 권한을 제공하는 정책을 생성할 수 있습니다. Amazon ECR 수명 주기 정책 기능을 사용하여 리포지토리에서 이미지의 수명 주기 관리를 지정할 수 있습니다. 수명 주기 정책 이벤트는 CloudTrail 이벤트로 보고됩니다. Amazon ECR은와 통합되어 수명 주기 정책 이벤트를 Amazon ECR 콘솔에 직접 표시할 AWS CloudTrail 수 있습니다. AmazonEC2ContainerRegistryFullAccess 관리형 IAM 정책에는 이 동작을 촉진할 수 있는 cloudtrail:LookupEvents 권한이 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 모든 Amazon ECR API에 대한 모든 권한을 허용합니다.

  • cloudtrail - 보안 주체가 CloudTrail에서 캡처한 관리 이벤트 또는 AWS CloudTrail Insights 이벤트를 조회할 수 있도록 허용합니다.

AmazonEC2ContainerRegistryFullAccess 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

AmazonEC2ContainerRegistryPowerUser 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM 사용자가 리포지토리에 대한 읽기 및 쓰기를 허용하는 관리 권한을 부여하지만, 리포지토리를 삭제하거나 리포지토리에 적용된 정책 설명을 변경할 수는 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 리포지토리에서 읽기 및 쓰기를 수행하고 수명 주기 정책 읽도록 허용합니다. 보안 주체에게는 리포지토리를 삭제하거나 저장소에 적용되는 수명 주기 정책을 변경할 수 있는 권한이 부여되지 않습니다.

AmazonEC2ContainerRegistryPowerUser 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryPullOnly

AmazonEC2ContainerRegistryPullOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 Amazon ECR에서 컨테이너 이미지를 가져올 수 있는 권한을 부여합니다. 레지스트리에 풀스루 캐시가 활성화되어 있는 경우 이 정책은 업스트림 레지스트리에서 이미지를 가져올 수 있는 권한도 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 리포지토리 및 해당 수명 주기 정책을 읽을 수 있도록 합니다.

AmazonEC2ContainerRegistryPullOnly 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

AmazonEC2ContainerRegistryReadOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 Amazon ECR에 대한 읽기 전용 권한을 부여합니다. 여기에는 리포지토리와 리포지토리 내의 이미지를 나열하는 기능이 포함됩니다. 또한 Docker CLI를 사용하여 Amazon ECR에서 이미지를 가져올 수 있는 기능도 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 리포지토리 및 해당 수명 주기 정책을 읽을 수 있도록 합니다.

AmazonEC2ContainerRegistryReadOnly 정책은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

AWSECRPullThroughCache_ServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR이 풀스루 캐시 워크플로를 통해 이미지를 리포지토리에 푸시할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 풀스루 캐시에 대한 Amazon ECR 서비스 연결 역할 단원을 참조하십시오.

ECRReplicationServiceRolePolicy

ECRReplicationServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon ECR에 대한 서비스 연결 역할 사용 단원을 참조하십시오.

ECRTemplateServiceRolePolicy

ECRTemplateServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 Amazon ECR에 대한 서비스 연결 역할 사용 단원을 참조하십시오.

AWS 관리형 정책에 대한 Amazon ECR 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon ECR의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Amazon ECR 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

풀스루 캐시에 대한 Amazon ECR 서비스 연결 역할 - 기존 정책에 대한 업데이트

Amazon ECR에서 AWSECRPullThroughCache_ServiceRolePolicy정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 통해 Amazon ECR은 ECR 프라이빗 레지스트리에서 이미지를 가져올 수 있습니다. 이는 풀스루 캐시 규칙을 사용하여 다른 Amazon ECR 프라이빗 레지스트리의 이미지를 캐시할 때 필요합니다.

 2025년 3월 12일

AmazonEC2ContainerRegistryPullOnly – 새 정책

Amazon ECR은 Amazon ECR에 풀 전용 권한을 부여하는 새 정책을 추가했습니다.

 2024년 10월 10일

ECRTemplateServiceRolePolicy – 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 리포지토리 생성 템플릿 기능에 대한 ECRTemplateServiceRolePolicy 서비스 연결 역할과 연결됩니다.

 2024년 6월 20일

AWSECRPullThroughCache_ServiceRolePolicy - 기존 정책 업데이트

Amazon ECR에서 AWSECRPullThroughCache_ServiceRolePolicy정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 통해 Amazon ECR은 Secrets Manager 보안 암호의 암호화된 콘텐츠를 검색할 수 있습니다. 이는 풀스루 캐시 규칙을 사용하여 인증이 필요한 업스트림 레지스트리에서 이미지를 캐시할 때 필요합니다.

 2023년 11월 15일

AWSECRPullThroughCache_ServiceRolePolicy – 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 풀스루 캐시 기능에 대한 AWSServiceRoleForECRPullThroughCache 서비스 연결 역할과 연결됩니다.

 2021년 11월 29일

ECRReplicationServiceRolePolicy – 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 복제 기능에 대한 AWSServiceRoleForECRReplication 서비스 연결 역할과 연결됩니다.

 2020년 12월 4일

AmazonEC2ContainerRegistryFullAccess— 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryFullAccess정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 사용하여 보안 주체는 Amazon ECR 서비스 연결 역할을 생성할 수 있습니다.

 2020년 12월 4일

AmazonEC2ContainerRegistryReadOnly— 기존 정책에 대한 업데이트

Amazon ECR에서 보안 주체가 수명 주기 정책을 읽고, 태그를 나열하고, 이미지에 대한 검색 결과를 설명할 수 있는 새로운 권한을 AmazonEC2ContainerRegistryReadOnly 정책에 추가했습니다.

 2019년 12월 10일

AmazonEC2ContainerRegistryPowerUser— 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryPowerUser 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 수명 주기 정책을 읽고, 태그를 나열하고, 이미지에 대한 검색 결과를 설명할 수 있도록 허용합니다.

 2019년 12월 10일

AmazonEC2ContainerRegistryFullAccess— 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryFullAccess정책에 대한 새로운 권한을 추가했습니다. 이를 통해 보안 주체는 CloudTrail에서 캡처한 관리 이벤트 또는 AWS CloudTrail Insights 이벤트를 조회할 수 있습니다.

 2017년 11월 10일

AmazonEC2ContainerRegistryReadOnly— 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryReadOnly 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 Amazon ECR 이미지를 설명할 수 있도록 허용합니다.

 2016년 10월 11일

AmazonEC2ContainerRegistryPowerUser— 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryPowerUser 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 Amazon ECR 이미지를 설명할 수 있도록 허용합니다.

 2016년 10월 11일

AmazonEC2ContainerRegistryReadOnly - 새 정책

Amazon ECR은 Amazon ECR에 읽기 전용 권한을 부여하는 새 정책을 추가했습니다. 이러한 권한에는 리포지토리와 리포지토리 내의 이미지를 나열하는 기능이 포함됩니다. 또한 Docker CLI를 사용하여 Amazon ECR에서 이미지를 가져올 수 있는 기능도 포함되어 있습니다.

 2015년 12월 21일

AmazonEC2ContainerRegistryPowerUser— 새 정책

Amazon ECR은 사용자가 리포지토리를 읽고 쓸 수 있지만 리포지토리를 삭제하거나 리포지토리에 적용된 정책 문서를 변경할 수는 없는 관리 권한을 부여하는 새 정책을 추가했습니다.

 2015년 12월 21일

AmazonEC2ContainerRegistryFullAccess - 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 Amazon ECR에 대한 모든 액세스 권한을 부여합니다.

 2015년 12월 21일

Amazon ECR, 변경 사항 추적 시작

Amazon ECR이 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

 2021년 6월 24일