AmazonEC2ContainerRegistryFullAccess AmazonEC2ContainerRegistryPowerUser AmazonEC2ContainerRegistryPullOnly AmazonEC2ContainerRegistryReadOnly AWSECRPullThroughCache_ServiceRolePolicy ECRReplicationServiceRolePolicy ECRTemplateServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para o Amazon Elastic Container Registry

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

O Amazon ECR fornece várias políticas gerenciadas que você pode anexar às identidades do IAM ou às instâncias da Amazon EC2 . Essas políticas gerenciadas permitem habilitar diferentes níveis de controle sobre o acesso às operações de API e aos recursos do Amazon ECR. Para obter mais informações sobre cada operação de API mencionada nessas políticas, consulteAções na Referência da API do Amazon Elastic Container Registry.

Tópicos

AmazonEC2ContainerRegistryFullAccess
AmazonEC2ContainerRegistryPowerUser
AmazonEC2ContainerRegistryPullOnly
AmazonEC2ContainerRegistryReadOnly
AWSECRPullThroughCache_ServiceRolePolicy
ECRReplicationServiceRolePolicy
ECRTemplateServiceRolePolicy
Atualizações do Amazon ECR para políticas AWS gerenciadas

`AmazonEC2ContainerRegistryFullAccess`

É possível anexar a política AmazonEC2ContainerRegistryFullAccess às identidades do IAM.

Você pode usar essa política gerenciada como um ponto de partida para criar sua própria política do IAM com base em seus requisitos específicos. Por exemplo, você pode criar uma política especificamente para fornecer a um usuário ou a uma função acesso total de administrador para gerenciar o uso do Amazon ECR. O recurso Políticas de ciclo de vida do Amazon ECR permite que os clientes especifiquem o gerenciamento do ciclo de vida das imagens em um repositório. Os eventos da política de ciclo de vida são relatados como CloudTrail eventos. O Amazon ECR está integrado AWS CloudTrail para que possa exibir seus eventos de política de ciclo de vida diretamente no console do Amazon ECR. A política gerenciada AmazonEC2ContainerRegistryFullAccess do IAM inclui a permissão cloudtrail:LookupEvents para facilitar esse comportamento.

Detalhes de permissões

Esta política inclui as seguintes permissões:

ecr— Permite que os diretores tenham acesso total a todos os Amazon APIs ECR.
cloudtrail— Permite que os diretores pesquisem eventos de gerenciamento ou eventos do AWS CloudTrail Insights que são capturados por CloudTrail.

A política de AmazonEC2ContainerRegistryFullAccess é a seguinte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

`AmazonEC2ContainerRegistryPowerUser`

É possível anexar a política AmazonEC2ContainerRegistryPowerUser às identidades do IAM.

Essa política concede permissões administrativas que permitem que os usuários do IAM leiam e gravem nos repositórios, mas não permitem que eles excluam repositórios ou alterem os documentos de política aplicados a eles.

Detalhes de permissões

Esta política inclui as seguintes permissões:

ecr: permite que as entidades principais leiam e gravem nos repositórios, bem como leiam as políticas de ciclo de vida. Os principais não recebem permissão para excluir repositórios ou alterar as políticas de ciclo de vida que são aplicadas a eles.

A política de AmazonEC2ContainerRegistryPowerUser é a seguinte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

`AmazonEC2ContainerRegistryPullOnly`

É possível anexar a política AmazonEC2ContainerRegistryPullOnly às identidades do IAM.

Essa política concede permissão para extrair imagens de contêineres do Amazon ECR. Se o registro estiver habilitado para cache de pull-through, ele também permitirá que as extrações importem uma imagem de um registro upstream.

Detalhes de permissões

Esta política inclui as seguintes permissões:

ecr – permite que os principais leiam repositórios e suas respectivas políticas de ciclo de vida.

A política de AmazonEC2ContainerRegistryPullOnly é a seguinte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchImportUpstreamImage"
            ],
            "Resource": "*"
        }
    ]
}

`AmazonEC2ContainerRegistryReadOnly`

É possível anexar a política AmazonEC2ContainerRegistryReadOnly às identidades do IAM.

Esta política concede permissões de acesso somente para leitura ao Amazon ECR. Isso inclui a capacidade de listar repositórios e imagens dentro dos repositórios. Inclui também a capacidade de extrair imagens do Amazon ECR com a CLI do Docker.

Detalhes de permissões

Esta política inclui as seguintes permissões:

ecr – permite que os principais leiam repositórios e suas respectivas políticas de ciclo de vida.

A política de AmazonEC2ContainerRegistryReadOnly é a seguinte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

`AWSECRPullThroughCache_ServiceRolePolicy`

Não é possível anexar a política do IAM gerenciada AWSECRPullThroughCache_ServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada a serviço que permite que o Amazon ECR envie imagens para seus repositórios por meio do fluxo de trabalho do cache de pull-through. Para obter mais informações, consulte Função vinculada ao serviço do Amazon ECR para cache de pull-through.

`ECRReplicationServiceRolePolicy`

Não é possível anexar a política do IAM gerenciada ECRReplicationServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon ECR realizar ações em seu nome. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o Amazon ECR.

`ECRTemplateServiceRolePolicy`

Não é possível anexar a política do IAM gerenciada ECRTemplateServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon ECR realizar ações em seu nome. Para obter mais informações, consulte Uso de funções vinculadas ao serviço para o Amazon ECR.

Atualizações do Amazon ECR para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon ECR desde o momento em que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon ECR.

Alteração	Descrição	Data
Amazon EC2 ContainerRegistryPullOnly — Nova política	O Amazon ECR adicionou uma nova política que concede permissões somente de extração para o Amazon ECR.	10 de outubro de 2024
ECRTemplateServiceRolePolicy – Nova política	O Amazon ECR adicionou uma nova política. Esta política está associada ao perfil vinculado ao serviço `ECRTemplateServiceRolePolicy` para o recurso de modelo de criação de repositório.	20 de junho de 2024
AWSECRPullThroughCache_ServiceRolePolicy: atualizar para uma política existente	O Amazon ECR adicionou novas permissões à política `AWSECRPullThroughCache_ServiceRolePolicy`. Essas permissões permitem que o Amazon ECR recupere o conteúdo criptografado de um segredo do Secrets Manager. Isso é necessário ao usar uma regra de cache de pull-through para armazenar em cache imagens de um registro upstream que requer autenticação.	15 de novembro de 2023
AWSECRPullThroughCache_ServiceRolePolicy – Nova política	O Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço `AWSServiceRoleForECRPullThroughCache` para o recurso de cache de pull-through.	29 de novembro de 2021
ECRReplicationServiceRolePolicy – Nova política	O Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço `AWSServiceRoleForECRReplication` para o recurso de replicação.	4 de dezembro de 2020
Amazon EC2 ContainerRegistryFullAccess — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryFullAccess`. Essas permissões permitem que os principais criem a função vinculada ao serviço do Amazon ECR.	4 de dezembro de 2020
Amazon EC2 ContainerRegistryReadOnly — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryReadOnly` que permite que os principais leiam políticas de ciclo de vida, listem tags e descrevam as descobertas de digitalização para as imagens.	10 de dezembro de 2019
Amazon EC2 ContainerRegistryPowerUser — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryPowerUser`. Elas permitem que os principais leiam políticas de ciclo de vida, listem tags e descrevam as descobertas de digitalização para as imagens.	10 de dezembro de 2019
Amazon EC2 ContainerRegistryFullAccess — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryFullAccess`. Eles permitem que os diretores consultem eventos de gerenciamento ou eventos do AWS CloudTrail Insights que são capturados por CloudTrail.	10 de novembro de 2017
Amazon EC2 ContainerRegistryReadOnly — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryReadOnly`. Elas permitem que os principais descrevam imagens do Amazon ECR.	11 de outubro de 2016
Amazon EC2 ContainerRegistryPowerUser — Atualização de uma política existente	O Amazon ECR adicionou novas permissões à política `AmazonEC2ContainerRegistryPowerUser`. Elas permitem que os principais descrevam imagens do Amazon ECR.	11 de outubro de 2016
Amazon EC2 ContainerRegistryReadOnly — Nova política	O Amazon ECR adicionou uma nova política que concede permissões somente de leitura para o Amazon ECR. Essas permissões incluem a capacidade de listar repositórios e imagens nos repositórios. Incluem também a capacidade de extrair imagens do Amazon ECR com a CLI do Docker.	21 de dezembro de 2015
Amazon EC2 ContainerRegistryPowerUser — Nova política	O Amazon ECR adicionou uma nova política que concede permissões administrativas que permitem que os usuários leiam e gravem nos repositórios, mas não permitem que eles excluam repositórios ou alterem os documentos de política aplicados a eles.	21 de dezembro de 2015
Amazon EC2 ContainerRegistryFullAccess — Nova política	O Amazon ECR adicionou uma nova política. Essa política concede ao acesso total ao Amazon ECR.	21 de dezembro de 2015
O Amazon ECR passou a monitorar alterações	O Amazon ECR começou a monitorar as alterações nas políticas AWS gerenciadas.	24 de junho de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar controle de acesso baseado em tags

Uso de perfis vinculados ao serviço