Container Registry (ACR) における RAM 認可の権限とリソース ARN リファレンス - ACR

このページでは、Container Registry (ACR) の Alibaba Cloud リソースネーム (ARN) フォーマットと API から操作へのマッピングを一覧表示します。Resource Access Management (RAM) ポリシー文を作成する際に、正しい Action と Resource の値を確認するために使用します。

ARN フォーマット

次の表に、各リソースタイプの ARN フォーマットを示します。ポリシー文の Resource 要素で ARN を使用します。

リソースタイプ	ARN フォーマット
すべてのリソース	`acs:cr:$regionid:$accountid:*`
インスタンス	`acs:cr:$regionid:$accountid:instance/$instanceid`
リポジトリ (インスタンス内のすべて)	`acs:cr:$regionid:$accountid:repository/$instanceid/*`
リポジトリ (インスタンス範囲)	`acs:cr:$regionid:$accountid:repository/$instanceid`
リポジトリ (名前空間内のすべて)	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/*`
リポジトリ (特定)	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`
名前空間	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename`
Chart 名前空間 (インスタンス内のすべて)	`acs:cr:$regionid:$accountid:chart/$instanceid/*`
Chart 名前空間 (インスタンス範囲)	`acs:cr:$regionid:$accountid:chart/$instanceid`
Chart リポジトリ (名前空間内のすべて)	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/*`
Chart 名前空間 (特定)	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename`
Chart リポジトリ (特定)	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`

ARN パラメーター

パラメーター	説明
`$regionid`	リージョン ID。 `*` に置き換えると、すべてのリージョンに一致します。
`$accountid`	Alibaba Cloud アカウント ID。 `*` に置き換えると、すべてのアカウントに一致します。
`$instanceid`	Container Registry Enterprise Edition インスタンスの ID。
`$namespacename`	名前空間の名前。
`$repositoryname`	イメージリポジトリの名前。
`$chartnamespacename`	Chart 名前空間の名前。
`$chartrepositoryname`	Chart リポジトリの名前。

API 認証ルール

RAM ユーザーまたはセキュリティトークンサービス (STS) の呼び出し元が Container Registry の API を呼び出すと、ACR は呼び出し元が必要な権限を持っていることを確認します。次の表は、各 API オペレーションと、それに必要な操作およびリソース範囲をマッピングしたものです。

各列の説明は次のとおりです：

API： API オペレーション名。
Action：ポリシー文の Action 要素に含める権限文字列。
Resource： Resource 要素の ARN パターン。* は、操作がリソースレベルではなく、"Resource": "*" が必要であることを意味します。
アクセスレベル：操作がデータの読み取り (Read)、リソースの一覧表示 (List)、リソースの変更 (Write)、権限の管理 (Permissions management) のいずれであるかを示します。

説明

注： * は、ARN パターンと Resource 列の両方でワイルドカードとして使用されます。

インスタンス

API	Action	Resource	アクセスレベル
GetInstance	`cr:GetInstance`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
GetInstanceCount	`cr:ListInstance`	`*`	リスト
GetInstanceEndpoint	`cr:GetInstanceEndpoint`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
GetInstanceUsage	`cr:GetInstanceUsage`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
GetInstanceVpcEndpoint	`cr:GetInstanceVpcEndpoint`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
ListInstance	`cr:ListInstance`	`*`	リスト
ListInstanceEndpoint	`cr:ListInstanceEndpoint`	`acs:cr:$regionid:$accountid:repository/$instanceid`	リスト
CreateInstanceEndpointAclPolicy	`cr:CreateInstanceEndpointAclPolicy`	`acs:cr:$regionid:$accountid:instance/$instanceid`	書き込み
CreateInstanceVpcEndpointLinkedVpc	`cr:CreateInstanceVpcEndpointLinkedVpc`	`acs:cr:$regionid:$accountid:instance/$instanceid`	書き込み
DeleteInstanceEndpointAclPolicy	`cr:DeleteInstanceEndpointAclPolicy`	`acs:cr:$regionid:$accountid:instance/$instanceid`	書き込み
DeleteInstanceVpcEndpointLinkedVpc	`cr:DeleteInstanceVpcEndpointLinkedVpc`	`acs:cr:$regionid:$accountid:instance/$instanceid`	書き込み
UpdateInstanceEndpointStatus	`cr:UpdateInstanceEndpointStatus`	`acs:cr:$regionid:$accountid:instance/$instanceid`	書き込み
GetArtifactBuildRule	`cr:GetArtifactBuildRule`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
GetPersonalInstanceDomainAccessStatus	`cr:GetPersonalInstanceDomainAccessStatus`	`acs:cr:$regionid:$accountid:instance/$instanceid`	読み取り
ListRepositoryVulTagCount	`cr:ListRepoVulTagCount`	`acs:cr:$regionid:$accountid:instance/$instanceid`	リスト

名前空間

API	Action	Resource	アクセスレベル
GetNamespace	`cr:GetNamespace`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename`	読み取り
ListNamespace	`cr:ListNamespace`	`acs:cr:$regionid:$accountid:repository/$instanceid/*`	リスト
CreateNamespace	`cr:CreateNamespace`	`acs:cr:$regionid:$accountid:repository/$instanceid`	書き込み
DeleteNamespace	`cr:DeleteNamespace`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename`	書き込み
UpdateNamespace	`cr:UpdateNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename`	書き込み

リポジトリ

API	Action	Resource	アクセスレベル
GetRepository	`cr:GetRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepository	`cr:ListRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/*`	リスト
CreateRepository	`cr:CreateRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename`	書き込み
DeleteRepository	`cr:DeleteRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
UpdateRepository	`cr:UpdateRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

イメージタグとレイヤー

API	Action	Resource	アクセスレベル
GetRepoTagLayers	`cr:GetRepositoryLayers`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
GetRepoTagManifest	`cr:GetRepositoryManifest`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepoTag	`cr:ListRepositoryTag`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
DeleteRepoTag	`cr:DeleteRepositoryTag`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

プル、プッシュ、および権限付与

API	Action	Resource	アクセスレベル
GetAuthorizationToken	`cr:GetAuthorizationToken`	`*`	読み取り
PullRepository	`cr:PullRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
PushRepository	`cr:PushRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

ビルド

API	Action	Resource	アクセスレベル
GetRepoBuildRecord	`cr:GetRepositoryBuildRecord`	`acs:cr:$regionid:$accountid:repository/$instanceid`	読み取り
GetRepoBuildRecordStatus	`cr:GetBuildRepositoryStatus`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepoBuildRecord	`cr:ListRepositoryBuild`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
ListRepoBuildRecordLog	`cr:GetRepositoryBuildLog`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepoBuildRule	`cr:ListRepositoryBuildRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
CancelRepoBuildRecord	`cr:CancelBuildRepository`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
CreateBuildRecordByRule	`cr:BuildRepositoryByRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
CreateRepoBuildRule	`cr:CreateRepositoryBuildRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
DeleteRepoBuildRule	`cr:DeleteRepositoryBuildRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
UpdateRepoBuildRule	`cr:UpdateRepositoryBuildRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

同期

API	Action	Resource	アクセスレベル
GetRepoSyncTask	`cr:GetRepositorySync`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepoSyncRule	`cr:ListSyncRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
ListRepoSyncTask	`cr:GetRepositorySync`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
CreateRepoSyncRule	`cr:CreateSyncRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
CreateRepoSyncTaskByRule	`cr:CreateRepositorySync`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
DeleteRepoSyncRule	`cr:DeleteSyncRule`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

トリガー (Webhook)

API	Action	Resource	アクセスレベル
ListRepoTrigger	`cr:ListWebHook`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
ListRepoTriggerLog	`cr:GetWebHookLog`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListRepoTriggerRecord	`cr:GetWebHookLog`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
CreateRepoTrigger	`cr:CreateWebHook`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
DeleteRepoTrigger	`cr:DeleteWebHook`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み
UpdateRepoTrigger	`cr:UpdateWebHook`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

脆弱性スキャン

API	Action	Resource	アクセスレベル
GetRepoTagScanTask	`cr:GetScan`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
GetScan	`cr:GetScan`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
GetScanStatus	`cr:GetScanStatus`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
GetScanCount	`cr:GetScanCount`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	読み取り
ListScanResult	`cr:ListScanResult`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	リスト
PutScan	`cr:PutScan`	`acs:cr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname`	書き込み

Helm チャート

API	Action	Resource	アクセスレベル
GetChartNamespace	`cr:GetNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename`	読み取り
GetChartRepository	`cr:GetRepository`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	読み取り
ListChartNamespace	`cr:ListNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid/*`	リスト
ListChartRelease	`cr:ListChartRelease`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	リスト
ListChartRepository	`cr:ListRepository`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/*`	リスト
CreateChartNamespace	`cr:CreateNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid`	書き込み
DeleteChartNamespace	`cr:DeleteNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename`	書き込み
DeleteChartRelease	`cr:DeleteChartRelease`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	書き込み
DeleteChartRepository	`cr:DeleteRepository`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	書き込み
UpdateChartNamespace	`cr:UpdateNamespace`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename`	書き込み
UpdateChartRepository	`cr:UpdateRepository`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	書き込み
PullChart	`cr:PullChart`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	読み取り
PushChart	`cr:PushChart`	`acs:cr:$regionid:$accountid:chart/$instanceid/$chartnamespacename/$chartrepositoryname`	書き込み