IAM 將映像推送至 Amazon ECR私有儲存庫的許可 - Amazon ECR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 將映像推送至 Amazon ECR私有儲存庫的許可

使用者需要IAM許可才能將映像推送至 Amazon ECR私有儲存庫。遵循授予最低權限的最佳實務,您可以授予特定儲存庫的存取權。您也可以授予所有儲存庫的存取權。

使用者必須透過請求授權權杖,對要推送映像的每個 Amazon ECR登錄檔進行身分驗證。Amazon ECR提供數個 AWS 受管政策,以控制不同層級的使用者存取權。如需詳細資訊,請參閱AWS Amazon Elastic Container Registry 的 受管政策

您也可以建立自己的IAM政策。下列IAM政策會授予將映像推送至特定儲存庫所需的許可。儲存庫必須指定為完整的 Amazon Resource Name (ARN)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage",
                "ecr:BatchGetImage"
            ],
            "Resource": "arn:aws:ecr:region:111122223333:repository/repository-name"
        },
        {
            "Effect": "Allow",
            "Action": "ecr:GetAuthorizationToken",
            "Resource": "*"
        }
    ]
}

下列IAM政策會授予將映像推送至所有儲存庫所需的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}