本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon ECR 的私有注册表策略示例
以下示例显示了您可用于控制用户对 Amazon ECR 注册表所具备权限的注册表权限策略声明。
**注意**
在每个示例中,如果从您的注册表策略中删除 `ecr:CreateRepository` 操作,复制仍然可能发生。但是,要成功复制,您需要在账户中创建具有相同名称的存储库。
## 示例:允许源账户中的所有 IAM 主体复制所有存储库
以下注册表权限策略允许源账户中的所有 IAM 主体(用户和角色)复制所有存储库。
注意以下几点:
+ **重要提示:**当您在策略中将 AWS 账户 ID 指定为主体时,即向该账户中的所有 IAM 用户和角色授予访问权限,而不仅仅向根用户授予访问权限。这为整个账户提供了广泛的访问权限。
+ **安全注意事项:**账户级权限授予对指定账户中所有 IAM 实体的访问权限。要获得更有限制性的访问权限,请指定单独的 IAM 用户、角色或使用条件语句进一步限制访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/*"
]
}
]
}
```
------
## 示例:允许来自多个账户的 IAM 主体
以下注册表权限策略包含两个语句。每个语句都允许源账户中的所有 IAM 主体(用户和角色)复制所有存储库。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount1",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
},
{
"Sid":"ReplicationAccessCrossAccount2",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::444455556666:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:123456789012:repository/*"
]
}
]
}
```
------
## 示例:允许源账户中的所有 IAM 主体复制所有带有前缀 `prod-` 的存储库
以下注册表权限策略允许源账户中的所有 IAM 主体(用户和角色)复制所有以 ` prod-` 开头的存储库。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ReplicationAccessCrossAccount",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::111122223333:root"
},
"Action":[
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": [
"arn:aws:ecr:us-west-2:444455556666:repository/prod-*"
]
}
]
}
```
------