Políticas de repositório - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de repositório

Amazon ECRO usa permissões baseadas em recursos para controlar o acesso a repositórios. As permissões baseadas em recursos permitem especificar quais funções ou usuários do IAM têm acesso a um repositório e quais ações podem realizar nele. Por padrão, somente o proprietário do repositório tem acesso a ele. Você pode aplicar um documento de política que concede permissões adicionais ao repositório.

Políticas de repositório vs. IAM políticas

Amazon ECR as políticas do repositório são um subconjunto de IAM políticas que são trocadas e utilizadas especificamente para controlar o acesso a Amazon ECR repositórios. IAM as políticas são geralmente utilizadas para aplicar permissões para toda a Amazon ECR mas também pode ser utilizado para controlar o acesso a recursos específicos.

Ambos Amazon ECR políticas de repositório e IAM as políticas são utilizadas ao determinar quais as acções que uma IAM o utilizador ou a função pode realizar num repositório. Se uma função ou um usuário tiver permissão para executar uma ação por meio de uma política de repositório, mas tem a permissão negada por uma política do IAM (ou vice-versa), a ação será negada. Uma função ou um usuário somente precisa ter permissão para uma ação por meio de uma política de repositório ou uma política do IAM, mas não ambas para que a ação seja permitida.

Importante

O Amazon ECR exige que os usuários concedam permissões para a API ecr:GetAuthorizationToken por meio de uma política do IAM antes que eles possam fazer a autenticação em um registro e enviar ou extrair qualquer imagem de um repositório do Amazon ECR. O Amazon ECR fornece várias políticas gerenciadas do IAM para controlar o acesso de usuários em níveis variados. Para obter mais informações, consulte Amazon Elastic Container RegistryExemplos de políticas baseadas em identidade do .

Você pode usar qualquer um desses tipos de política para controlar o acesso aos seus repositórios, conforme mostrado nos exemplos a seguir.

Este exemplo mostra um Amazon ECR política do repositório, que permite uma IAM utilizador para descrever o repositório e as imagens dentro do repositório.

{ "Version": "2008-10-17", "Statement": [{ "Sid": "ECR Repository Policy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": [ "ecr:DescribeImages", "ecr:DescribeRepositories" ] }] }

Este exemplo mostra uma política do IAM que atinge o mesmo objetivo que o acima definindo o escopo da política como um repositório (especificado pelo ARN completo do repositório) usando o parâmetro de recurso. Para obter mais informações sobre o formato do nome de recurso da Amazon (ARN), consulte Resources.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "ECR Repository Policy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/username" }, "Action": [ "ecr:DescribeImages", "ecr:DescribeRepositories" ], "Resource": [ "arn:aws:ecr:region:account-id:repository/repository-name" ] }] }