As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usar controle de acesso baseado em tags A ação de API `CreateRepository` do Amazon ECR permite especificar tags ao criar o repositório. Para obter mais informações, consulte [Marcar um repositório privado no Amazon ECR](ecr-using-tags.md). Para permitir que os usuários marquem repositórios na criação, eles devem ter permissões para usar a ação que cria o recurso (por exemplo, `ecr:CreateRepository`). Se as tags forem especificadas na ação resource-creating, a Amazon executará autorização adicional na ação `ecr:CreateRepository` para verificar se os usuários têm permissões para criar tags. É possível usar controle de acesso baseado em tags por meio de políticas do IAM. Veja os exemplos a seguir. A política a seguir só permitiria que um usuário criasse ou marcasse um repositório como `key=environment,value=dev`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedRepository", "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } }, { "Sid": "AllowTagRepository", "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "dev" } } } ] } ``` ------ A política a seguir permitiria que um usuário extraísse imagens de todos os repositórios, a menos que eles estivessem marcados como `key=environment,value=prod`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*", "Condition": { "StringEquals": { "ecr:ResourceTag/environment": "prod" } } } ] } ``` ------