ECR存储库策略与IAM策略有何不同?

时间:2018-07-10 04:31:29

标签: amazon-web-services amazon-iam amazon-ecr

ECR policies与IAM政策有何不同?

围绕ECR策略的语言似乎表明它与S3存储桶策略相似。

是否允许您不使用IAM授予访问权限?

如果我想授予另一个帐户访问注册表的权限,我可以使用ECR策略还是仍然需要交叉帐户角色?

2 个答案:

答案 0 :(得分:2)

  

围绕ECR策略的语言似乎表明它与S3存储桶策略相似。

是的,他们是。 ECR存储库策略和S3存储桶策略都控制特定资源的权限,而不是主体(身份)的权限。对于ECR,它使您可以定义特定存储库的权限。

  

是否允许您不使用IAM授予访问权限?

排序。您需要IAM策略和存储库策略来表达某些类型的权限。例如,用户的IAM策略可能具有ecr:*之类的权限,以允许用户对ECR进行API调用,然后存储库策略可能会授予对特定存储库的控制权。

  

如果我想授予另一个帐户访问注册表的权限,我可以使用ECR策略还是仍然需要交叉帐户角色?

这是存储库策略的主要用例之一。帐户A中的用户可能有权使用IAM策略中的ecr:*进行ECR API调用。然后,帐户B中的存储库可以授予对帐户A的跨帐户访问权限,此时帐户A用户无需承担跨帐户角色即可访问帐户{存储库。

答案 1 :(得分:1)

根据documentation,您可以只使用回购策略就可以跨帐户访问您的ECR:

  

对于“主体”,选择要应用策略声明的用户范围。

     
      
  • 您可以通过选中“所有人”复选框将语句应用于所有经过身份验证的AWS用户。

  •   
  • 您可以通过在AWS帐号字段中列出这些帐号(例如111122223333),将该语句应用于特定AWS帐号下的所有用户。

  •   
  • 您可以通过在“所有IAM实体”列表下检查角色或用户,然后选择>>添加以将其移动到“选定的IAM实体”列表中,将该语句应用于AWS账户下的角色或用户。

  •   

因此,您无需设置跨帐户角色假设,但我想您将不得不向远程帐户中的用户/组/角色授予适当的权限,以允许他们与您的ECR对话。 / p>