推送映像 - Amazon ECR
所需的 IAM 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

推送映像

您可以將 Docker 映像、資訊清單清單和開放容器計畫 (OCI) 映像和相容的成品推送至您的私有儲存庫。以下頁面將更詳細說明這些內容。

Amazon ECR 還提供了一種方法,透過在私有登錄檔設定中指定複寫組態,將您的映像複寫到其他儲存庫,跨自己登錄檔中的區域和不同帳戶。如需詳細資訊,請參閱 私有登錄檔設定

主題

推送映像所需的 IAM 許可

Amazon ECR 要求使用者具有下列許可才能推送映像。遵循授予最低權限的最佳實務,您可以將這些許可範圍縮小至特定的儲存庫,或授予所有儲存庫的許可。使用者必須透過請求授權字符,向他們想要推送映像的每個 Amazon ECR 登錄檔進行身分驗證。Amazon ECR 提供數個受管 IAM 政策來控制各種層級的使用者存取;如需詳細資訊,請參閱 Amazon Elastic Container Registry 身分型政策的範例

以下 IAM 政策授予推送映像所需的許可,而無需將範圍限定到特定儲存庫。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        }
    ]
}

以下 IAM 政策授予將映像和範圍推送到特定存儲存庫所需的許可。儲存庫必須指定為完整的 Amazon Resource Name (ARN)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "arn:aws:ecr:region:111122223333:repository/repository-name"
        },
        {
            "Effect": "Allow",
            "Action": "ecr:GetAuthorizationToken",
            "Resource": "*"
        }
    ]
}