投稿日: Sep 30, 2019
Amazon Elastic Container Registry (ECR) に、Amazon ECR リポジトリとプライベートエンドポイントを使用するイメージのより優れたアクセスコントロールを可能にする機能である、PrivateLink Endpoint Policies のサポートが追加されました。IAM リソースポリシーに基づいてアクセスを拒否または許可するポリシーの明確な定義は以前は不可能でしたが、現在ではコンテナイメージリポジトリへの詳細な API レベルアクセスを定義できるようになりました。
Amazon ECR PrivateLink Endpoint Policies を使用すると、アクセス権を付与されるべきサービスにのみ付与し、そうでないサービスには付与しない、ということが可能です。お客様側では、IAM リソースポリシーを明確に定義して、アクションを定義するエンドポイント (例: BatchGetImage、Delete Repository など)、効果 (許可または拒否)、それが適用されるプリンシパルにアタッチすることが可能になりました。開発者側では、より厳格なポリシーを適用することによりリポジトリアクセスを求められるアクセス権限に準拠させることができるようになりました。
ECR PrivateLink Endpoint Policies は、Amazon ECR 用の VPC エンドポイントを作成することで使用を開始できます。またはすでに作成済みの場合は、エンドポイントを選択してポリシーを追加してください。ECR PrivateLink Endpoint Policies の使用に関する詳細については、Amazon ECR ドキュメントをご覧ください。Amazon ECR および PrivateLink が利用可能なリージョンについては、AWS グローバルリージョン表を参照してください。