AWS Amazon Elastic 컨테이너 레지스트리에 대한 관리형 정책 - Amazon ECR

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon Elastic 컨테이너 레지스트리에 대한 관리형 정책

AWS 관리형 정책은 에서 생성하고 관리하는 독립 실행형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.

자세한 내용은 IAM 사용자 설명서AWS 관리형 정책을 참조하세요.

Amazon ECR은 IAM ID 또는 Amazon EC2 인스턴스에 연결할 수 있는 여러 관리형 정책을 제공합니다. 이러한 관리형 정책을 통해 Amazon ECR 리소스 및 API 작업에 대한 액세스를 다양한 수준으로 제어할 수 있습니다. 이러한 정책에 언급되는 각 API 작업에 대한 자세한 내용은 Amazon Elastic Container Registry API 참조작업 단원을 참조하십시오.

AmazonEC2ContainerRegistryFullAccess

AmazonEC2ContainerRegistryFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 관리형 정책을 시작점으로 사용하여 특정 요구 사항에 따라 고유한 IAM 정책을 생성할 수 있습니다. 예를 들어 사용자나 역할에 Amazon ECR 사용을 관리할 전체 관리자 액세스 권한을 제공하는 정책을 생성할 수 있습니다. Amazon ECR 수명 주기 정책 기능을 사용하여 리포지토리에서 이미지의 수명 주기 관리를 지정할 수 있습니다. 수명 주기 정책 이벤트는 이벤트로 CloudTrail 보고됩니다. Amazon ECR은 과 통합되어 AWS CloudTrail 있어 Amazon ECR 콘솔에 수명 주기 정책 이벤트를 직접 표시할 수 있습니다. AmazonEC2ContainerRegistryFullAccess 관리형 IAM 정책에는 이 동작을 촉진할 수 있는 cloudtrail:LookupEvents 권한이 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 모든 Amazon ECR API에 대한 모든 권한을 허용합니다.

  • cloudtrail— 주체가 에서 캡처한 관리 이벤트 또는 AWS CloudTrail Insights 이벤트를 조회할 수 있습니다. CloudTrail

AmazonEC2ContainerRegistryFullAccess 정책은 다음과 같습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:*", "cloudtrail:LookupEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "replication.ecr.amazonaws.com" ] } } } ] }

AmazonEC2ContainerRegistryPowerUser

AmazonEC2ContainerRegistryPowerUser 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM 사용자가 리포지토리에 대한 읽기 및 쓰기를 허용하는 관리 권한을 부여하지만, 리포지토리를 삭제하거나 리포지토리에 적용된 정책 설명을 변경할 수는 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 리포지토리에 읽기 및 쓰기 그리고 수명 주기 정책 읽기를 허용합니다. 보안 주체에게는 리포지토리를 삭제하거나 저장소에 적용되는 수명 주기 정책을 변경할 수 있는 권한이 부여되지 않습니다.

AmazonEC2ContainerRegistryPowerUser 정책은 다음과 같습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:PutImage" ], "Resource": "*" } ] }

AmazonEC2ContainerRegistryReadOnly

AmazonEC2ContainerRegistryReadOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 Amazon ECR에 대한 읽기 전용 권한을 부여합니다. 여기에는 리포지토리와 리포지토리 내의 이미지를 나열하는 기능이 포함됩니다. 또한 Docker CLI를 사용하여 Amazon ECR에서 이미지를 가져올 수 있는 기능도 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr – 보안 주체가 리포지토리 및 해당 수명 주기 정책을 읽을 수 있도록 합니다.

AmazonEC2ContainerRegistryReadOnly 정책은 다음과 같습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:GetRepositoryPolicy", "ecr:DescribeRepositories", "ecr:ListImages", "ecr:DescribeImages", "ecr:BatchGetImage", "ecr:GetLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:ListTagsForResource", "ecr:DescribeImageScanFindings" ], "Resource": "*" } ] }

AWSECRPullThroughCache_ServiceRolePolicy

AWSECRPullThroughCache_ServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR이 풀스루 캐시 워크플로를 통해 이미지를 리포지토리에 푸시할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 정보는 풀스루 캐시에 대한 Amazon ECR 서비스 연결 역할을 참조하세요.

ECRReplicationServiceRolePolicy

ECRReplicationServiceRolePolicy 관리형 IAM 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Amazon ECR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 정보는 Amazon ECR에 대한 서비스 연결 역할 사용을 참조하세요.

AWS 관리형 정책에 대한 Amazon ECR 업데이트

이 서비스가 변경 사항을 추적하기 시작한 이후 Amazon ECR의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Amazon ECR 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSECRPullThroughCache_ServiceRolePolicy - 기존 정책에 대한 업데이트

Amazon ECR에서 AWSECRPullThroughCache_ServiceRolePolicy정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 통해 Amazon ECR은 Secrets Manager 보안 암호의 암호화된 콘텐츠를 검색할 수 있습니다. 이는 풀스루 캐시 규칙을 사용하여 인증이 필요한 업스트림 레지스트리에서 이미지를 캐시할 때 필요합니다.

2023년 11월 15일

AWSECRPullThroughCache_ServiceRolePolicy - 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 풀스루 캐시 기능에 대한 AWSServiceRoleForECRPullThroughCache 서비스 연결 역할과 연결됩니다.

2021년 11월 29일

ECR ReplicationService RolePolicy — 새 정책

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 복제 기능에 대한 AWSServiceRoleForECRReplication 서비스 연결 역할과 연결됩니다.

2020년 12월 4일

AmazonEC2 ContainerRegistry FullAccess — 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryFullAccess정책에 대한 새로운 권한을 추가했습니다. 이러한 권한을 사용하여 보안 주체는 Amazon ECR 서비스 연결 역할을 생성할 수 있습니다.

2020년 12월 4일

AmazonEC2 ContainerRegistry ReadOnly — 기존 정책에 대한 업데이트

Amazon ECR에서 보안 주체가 수명 주기 정책을 읽고, 태그를 나열하고, 이미지에 대한 검색 결과를 설명할 수 있는 새로운 권한을 AmazonEC2ContainerRegistryReadOnly 정책에 추가했습니다.

2019년 12월 10일

AmazonEC2 ContainerRegistry PowerUser — 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryPowerUser 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 수명 주기 정책을 읽고, 태그를 나열하고, 이미지에 대한 검색 결과를 설명할 수 있도록 허용합니다.

2019년 12월 10일

AmazonEC2 ContainerRegistry FullAccess — 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryFullAccess정책에 대한 새로운 권한을 추가했습니다. 이를 통해 보안 주체는 에서 캡처한 관리 이벤트 또는 AWS CloudTrail Insights 이벤트를 조회할 수 있습니다. CloudTrail

2017년 11월 10일

AmazonEC2 ContainerRegistry ReadOnly — 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryReadOnly 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 Amazon ECR 이미지를 설명할 수 있도록 허용합니다.

2016년 10월 11일

AmazonEC2 ContainerRegistry PowerUser — 기존 정책에 대한 업데이트

Amazon ECR에서 AmazonEC2ContainerRegistryPowerUser 정책에 대한 새로운 권한을 추가했습니다. 이는 보안 주체가 Amazon ECR 이미지를 설명할 수 있도록 허용합니다.

2016년 10월 11일

아마존 EC2 — 새 정책 ContainerRegistry ReadOnly

Amazon ECR은 Amazon ECR에 읽기 전용 권한을 부여하는 새로운 정책을 추가했습니다. 이러한 권한에는 리포지토리와 리포지토리 내의 이미지를 나열하는 기능이 포함됩니다. 또한 Docker CLI를 사용하여 Amazon ECR에서 이미지를 가져올 수 있는 기능도 포함되어 있습니다.

2015년 12월 21일

아마존 EC2 — 새 정책 ContainerRegistry PowerUser

Amazon ECR에서 사용자가 리포지토리에 대한 읽기 및 쓰기는 허용하지만, 리포지토리를 삭제하거나 리포지토리에 적용된 정책 문서를 변경할 수는 없는 관리 권한을 부여하는 새 정책을 추가했습니다.

2015년 12월 21일

아마존 EC2 — 새 정책 ContainerRegistry FullAccess

Amazon ECR에서 새 정책을 추가했습니다. 이 정책은 Amazon ECR에 대한 모든 액세스 권한을 부여합니다.

2015년 12월 21일

Amazon ECR, 변경 사항 추적 시작

Amazon ECR은 AWS 관리형 정책의 변경 사항을 추적하기 시작했습니다.

2021년 6월 24일