本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Amazon 弹性容器注册表的托管策略
<a name="security-iam-awsmanpol"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

Amazon ECR 提供了一些托管策略，您可以将它们附加到 IAM 身份或 Amazon EC2 实例。借助这些策略，您可对 Amazon ECR 资源和 API 操作的访问权限进行不同级别的控制。有关这些策略中提到的每个 API 操作的更多信息，请参阅 *Amazon Elastic Container Registry API 参考*中的[操作](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_Operations.html)。

**Topics**
+ [Amazon EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)
+ [Amazon EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)
+ [Amazon EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)
+ [Amazon EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)
+ [`AWSECRPullThroughCache_ServiceRolePolicy`](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)
+ [`ECRReplicationServiceRolePolicy`](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)
+ [`ECRTemplateServiceRolePolicy`](#security-iam-awsmanpol-ECRTemplateServiceRolePolicy)
+ [Amazon ECR 更新了托 AWS 管政策](#security-iam-awsmanpol-updates)

## Amazon EC2 ContainerRegistryFullAccess
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess"></a>

您可以将 `AmazonEC2ContainerRegistryFullAccess` 策略附加到 IAM 身份。该策略授予对 Amazon ECR 资源的管理访问权限，并授予 IAM 身份（例如用户、群组或角色）访问与 Amazon ECR 集成的 AWS 服务的访问权限，以使用所有 Amazon ECR 功能。使用此策略可以访问 AWS 管理控制台中提供的所有 Amazon ECR 功能。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》EC2ContainerRegistryFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryFullAccess.html)。

## Amazon EC2 ContainerRegistryPowerUser
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser"></a>

您可以将 `AmazonEC2ContainerRegistryPowerUser` 策略附加到 IAM 身份。此策略授予管理权限，以允许 IAM 用户读写存储库，但不允许他们删除存储库或更改应用于存储库的策略文档。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》EC2ContainerRegistryPowerUser中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPowerUser.html)。

## Amazon EC2 ContainerRegistryPullOnly
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly"></a>

您可以将 `AmazonEC2ContainerRegistryPullOnly` 策略附加到 IAM 身份。此策略授予从 Amazon ECR 提取容器映像的权限。如果注册表启用了缓存提取，则它还将允许从上游注册表导入映像的提取。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》EC2ContainerRegistryPullOnly中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)。

## Amazon EC2 ContainerRegistryReadOnly
<a name="security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly"></a>

您可以将 `AmazonEC2ContainerRegistryReadOnly` 策略附加到 IAM 身份。此策略授予 Amazon ECR 的只读权限。这包括列出存储库及其中镜像的功能。它还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》EC2ContainerRegistryReadOnly中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryReadOnly.html)。

## `AWSECRPullThroughCache_ServiceRolePolicy`
<a name="security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy"></a>

您不能将 `AWSECRPullThroughCache_ServiceRolePolicy` 托管的 IAM policy 附加到您的 IAM 实体。此策略附加到服务相关角色，该角色允许 Amazon ECR 通过缓存提取工作流将镜像推送到存储库。有关更多信息，请参阅 [用于缓存提取的 Amazon ECR 服务相关角色](slr-pullthroughcache.md)。

## `ECRReplicationServiceRolePolicy`
<a name="security-iam-awsmanpol-ECRReplicationServiceRolePolicy"></a>

您不能将 `ECRReplicationServiceRolePolicy` 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息，请参阅 [对 Amazon ECR 使用服务相关角色](using-service-linked-roles.md)。

## `ECRTemplateServiceRolePolicy`
<a name="security-iam-awsmanpol-ECRTemplateServiceRolePolicy"></a>

您不能将 `ECRTemplateServiceRolePolicy` 托管的 IAM policy 附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon ECR 代表您执行操作。有关更多信息，请参阅 [对 Amazon ECR 使用服务相关角色](using-service-linked-roles.md)。

## Amazon ECR 更新了托 AWS 管政策
<a name="security-iam-awsmanpol-updates"></a>

查看自该服务开始跟踪这些更改以来对 Amazon ECR AWS 托管政策更新的详细信息。有关此页面更改的自动提示，请订阅 Amazon ECR 文档历史记录页面上的 RSS 源。

 


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [用于缓存提取的 Amazon ECR 服务相关角色](slr-pullthroughcache.md)：对现有策略的更新  |  Amazon ECR 将新权限添加到 `AWSECRPullThroughCache_ServiceRolePolicy` 策略。这些权限允许 Amazon ECR 从 ECR 私有注册表中提取映像。当使用提取缓存规则来缓存其他 Amazon ECR 私有注册表中的映像时，需要此类权限。  | 2025 年 3 月 12 日 | 
|  [亚马逊 EC2 ContainerRegistryPullOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly)-新政策  |  Amazon ECR 添加了一个新策略，用于向 Amazon ECR 授予仅提取权限。  | 2024 年 10 月 10 日 | 
|  [ECRTemplateServiceRolePolicy](slr-rct.md)：新策略  |  Amazon ECR 添加了新策略。此策略与用于存储库创建模板功能的 `ECRTemplateServiceRolePolicy` 服务相关角色关联。  | 2024 年 6 月 20 日 | 
|  [AWSECRPullThroughCache\$1ServiceRolePolicy](slr-pullthroughcache.md)：对现有策略的更新  |  Amazon ECR 将新权限添加到 `AWSECRPullThroughCache_ServiceRolePolicy` 策略。这些权限允许 Amazon ECR 检索 Secrets Manager 密钥的加密内容。当使用缓存提取规则来缓存需要身份验证的上游注册表中的映像时，需要此类权限。  | 2023 年 11 月 15 日 | 
|  [AWSECRPullThroughCache\$1ServiceRolePolicy](#security-iam-awsmanpol-AWSECRPullThroughCache_ServiceRolePolicy)：新策略  |  Amazon ECR 添加了新策略。此策略与用于缓存提取功能的 `AWSServiceRoleForECRPullThroughCache` 服务相关角色相关。  | 2021 年 11 月 29 日 | 
|  [ECRReplicationServiceRolePolicy](#security-iam-awsmanpol-ECRReplicationServiceRolePolicy)：新策略  |  Amazon ECR 添加了新策略。此策略与用于复制功能的 `AWSServiceRoleForECRReplication` 服务相关角色相关。  | 2020 年 12 月 4 日 | 
|  [亚马逊 EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryFullAccess` 策略。这些权限允许委托人创建 Amazon ECR 服务相关角色。  | 2020 年 12 月 4 日 | 
|  [亚马逊 EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryReadOnly` 策略，该策略允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。  | 2019 年 12 月 10 日 | 
|  [亚马逊 EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryPowerUser` 策略。这些权限允许委托人读取生命周期策略、列出标签以及描述镜像的扫描结果。  | 2019 年 12 月 10 日 | 
|  [亚马逊 EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryFullAccess` 策略。它们允许校长查找由 CloudTrail捕获的管理事件或 AWS CloudTrail Insights 事件。  | 2017 年 11 月 10 日 | 
|  [亚马逊 EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryReadOnly` 策略。这些权限允许委托人描述 Amazon ECR 镜像。  | 2016 年 10 月 11 日 | 
|  [亚马逊 EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)-更新现有政策  |  Amazon ECR 将新权限添加到 `AmazonEC2ContainerRegistryPowerUser` 策略。这些权限允许委托人描述 Amazon ECR 镜像。  | 2016 年 10 月 11 日 | 
|  [亚马逊 EC2 ContainerRegistryReadOnly](#security-iam-awsmanpol-AmazonEC2ContainerRegistryReadOnly)-新政策  |  Amazon ECR 添加了一个新策略，用于向 Amazon ECR 授予只读权限。这些权限包括列出存储库及其中镜像的功能。它们还包括使用 Docker CLI 从 Amazon ECR 提取镜像的功能。  | 2015 年 12 月 21 日 | 
|  [亚马逊 EC2 ContainerRegistryPowerUser](#security-iam-awsmanpol-AmazonEC2ContainerRegistryPowerUser)-新政策  |  Amazon ECR 添加了一项新策略，该策略授予管理权限，从而允许用户读写存储库，但不允许他们删除存储库或更改应用于存储库的策略文档。  | 2015 年 12 月 21 日 | 
|  [亚马逊 EC2 ContainerRegistryFullAccess](#security-iam-awsmanpol-AmazonEC2ContainerRegistryFullAccess)-新政策  |  Amazon ECR 添加了新策略。此策略授予 Amazon ECR 的完全访问权限。  | 2015 年 12 月 21 日 | 
|  Amazon ECR 开始跟踪更改  |  Amazon ECR 已开始跟踪 AWS 托管策略的更改。  | 2021 年 6 月 24 日 |