AWS políticas gerenciadas para o Amazon Elastic Container Registry - Amazon ECR
AmazonEC2ContainerRegistryFullAccessAmazonEC2ContainerRegistryPowerUserAmazonEC2ContainerRegistryReadOnlyAWSECRPullThroughCache_ServiceRolePolicyECRReplicationServiceRolePolicyECRTemplateServiceRolePolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Elastic Container Registry

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte as políticas AWS gerenciadas no Guia IAM do usuário.

ECRA Amazon fornece várias políticas gerenciadas que você pode anexar às IAM identidades ou às EC2 instâncias da Amazon. Essas políticas gerenciadas permitem diferentes níveis de controle sobre o acesso aos ECR recursos e API operações da Amazon. Para obter mais informações sobre cada API operação mencionada nessas políticas, consulte Ações no Amazon Elastic Container Registry API Reference.

AmazonEC2ContainerRegistryFullAccess

Você pode anexar a AmazonEC2ContainerRegistryFullAccess política às suas IAM identidades.

Você pode usar essa política gerenciada como ponto de partida para criar sua própria IAM política com base em seus requisitos específicos. Por exemplo, você pode criar uma política específica para fornecer a um usuário ou função acesso total de administrador para gerenciar o uso da AmazonECR. Com o recurso Amazon ECR Lifecycle Policies, você pode especificar o gerenciamento do ciclo de vida das imagens em um repositório. Os eventos da política de ciclo de vida são relatados como CloudTrail eventos. ECRA Amazon está integrada AWS CloudTrail para que possa exibir seus eventos de política de ciclo de vida diretamente no console da AmazonECR. A IAM política AmazonEC2ContainerRegistryFullAccess gerenciada inclui a cloudtrail:LookupEvents permissão para facilitar esse comportamento.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • ecr— Permite que os diretores tenham acesso total a toda a Amazon ECRAPIs.

  • cloudtrail— Permite que os diretores pesquisem eventos de gerenciamento ou eventos do AWS CloudTrail Insights que são capturados por CloudTrail.

A política de AmazonEC2ContainerRegistryFullAccess é a seguinte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "replication.ecr.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonEC2ContainerRegistryPowerUser

Você pode anexar a AmazonEC2ContainerRegistryPowerUser política às suas IAM identidades.

Essa política concede permissões administrativas que permitem IAM aos usuários ler e gravar nos repositórios, mas não permite que eles excluam repositórios nem alterem os documentos de política que são aplicados a eles.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • ecr— permite que os diretores leiam e gravem em repositórios, bem como leiam políticas de ciclo de vida. Os principais não recebem permissão para excluir repositórios ou alterar as políticas de ciclo de vida que são aplicadas a eles.

A política de AmazonEC2ContainerRegistryPowerUser é a seguinte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

AmazonEC2ContainerRegistryReadOnly

Você pode anexar a AmazonEC2ContainerRegistryReadOnly política às suas IAM identidades.

Essa política concede permissões somente de leitura à Amazon. ECR Isso inclui a capacidade de listar repositórios e imagens dentro dos repositórios. Também inclui a capacidade de extrair imagens da Amazon ECR com o DockerCLI.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • ecr – permite que os principais leiam repositórios e suas respectivas políticas de ciclo de vida.

A política de AmazonEC2ContainerRegistryReadOnly é a seguinte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetRepositoryPolicy",
                "ecr:DescribeRepositories",
                "ecr:ListImages",
                "ecr:DescribeImages",
                "ecr:BatchGetImage",
                "ecr:GetLifecyclePolicy",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:ListTagsForResource",
                "ecr:DescribeImageScanFindings"
            ],
            "Resource": "*"
        }
    ]
}

AWSECRPullThroughCache_ServiceRolePolicy

Você não pode anexar a IAM política AWSECRPullThroughCache_ServiceRolePolicy gerenciada às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite à Amazon enviar imagens ECR para seus repositórios por meio do fluxo de trabalho de pull through cache. Para obter mais informações, consulte Função ECR vinculada ao serviço da Amazon para cache de extração.

ECRReplicationServiceRolePolicy

Você não pode anexar a IAM política ECRReplicationServiceRolePolicy gerenciada às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite ECR à Amazon realizar ações em seu nome. Para obter mais informações, consulte Usando funções vinculadas a serviços para a Amazon ECR.

ECRTemplateServiceRolePolicy

Você não pode anexar a IAM política ECRTemplateServiceRolePolicy gerenciada às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite ECR à Amazon realizar ações em seu nome. Para obter mais informações, consulte Usando funções vinculadas a serviços para a Amazon ECR.

Amazon ECR atualiza as políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon ECR desde o momento em que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico de ECR documentos da Amazon.

Alteração Descrição Data

ECRTemplateServiceRolePolicy— Nova política

A Amazon ECR adicionou uma nova política. Essa política está associada à função ECRTemplateServiceRolePolicy vinculada ao serviço do recurso de modelo de criação de repositório.

 20 de junho de 2024

AWSECRPullThroughCache_ ServiceRolePolicy — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AWSECRPullThroughCache_ServiceRolePolicy política. Essas permissões permitem que ECR a Amazon recupere o conteúdo criptografado de um segredo do Secrets Manager. Isso é necessário ao usar uma regra de cache de pull-through para armazenar em cache imagens de um registro upstream que requer autenticação.

 15 de novembro de 2023

AWSECRPullThroughCache_ ServiceRolePolicy — Nova política

A Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço AWSServiceRoleForECRPullThroughCache para o recurso de cache de pull-through.

 29 de novembro de 2021

ECRReplicationServiceRolePolicy— Nova política

A Amazon ECR adicionou uma nova política. Essa política está associada à função vinculada ao serviço AWSServiceRoleForECRReplication para o recurso de replicação.

 4 de dezembro de 2020

Amazon EC2ContainerRegistryFullAccess — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryFullAccess política. Essas permissões permitem que os diretores criem a função vinculada ao ECR serviço da Amazon.

 4 de dezembro de 2020

Amazon EC2ContainerRegistryReadOnly — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryReadOnly política que permitem que os diretores leiam políticas de ciclo de vida, listem tags e descrevam os resultados da digitalização de imagens.

 10 de dezembro de 2019

Amazon EC2ContainerRegistryPowerUser — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryPowerUser política. Elas permitem que os principais leiam políticas de ciclo de vida, listem tags e descrevam as descobertas de digitalização para as imagens.

 10 de dezembro de 2019

Amazon EC2ContainerRegistryFullAccess — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryFullAccess política. Eles permitem que os diretores consultem eventos de gerenciamento ou eventos do AWS CloudTrail Insights que são capturados por CloudTrail.

 10 de novembro de 2017

Amazon EC2ContainerRegistryReadOnly — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryReadOnly política. Eles permitem que os diretores descrevam ECR imagens da Amazon.

 11 de outubro de 2016

Amazon EC2ContainerRegistryPowerUser — Atualização de uma política existente

A Amazon ECR adicionou novas permissões à AmazonEC2ContainerRegistryPowerUser política. Eles permitem que os diretores descrevam ECR imagens da Amazon.

 11 de outubro de 2016

Amazon EC2ContainerRegistryReadOnly — Nova política

A Amazon ECR adicionou uma nova política que concede permissões somente de leitura à Amazon. ECR Essas permissões incluem a capacidade de listar repositórios e imagens nos repositórios. Eles também incluem a capacidade de extrair imagens da Amazon ECR com o DockerCLI.

 21 de dezembro de 2015

Amazon EC2ContainerRegistryPowerUser — Nova política

A Amazon ECR adicionou uma nova política que concede permissões administrativas que permitem aos usuários ler e gravar em repositórios, mas não permite que eles excluam repositórios ou alterem os documentos de política que são aplicados a eles.

 21 de dezembro de 2015

Amazon EC2ContainerRegistryFullAccess — Nova política

A Amazon ECR adicionou uma nova política. Essa política concede acesso total à AmazonECR.

 21 de dezembro de 2015

A Amazon ECR começou a monitorar as mudanças

A Amazon ECR começou a monitorar as mudanças nas políticas AWS gerenciadas.

 24 de junho de 2021