Bewährte Verschlüsselungsmethoden für Amazon ECR - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Verschlüsselungsmethoden für Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) ist ein verwalteter Container-Image-Registry-Service, der sicher, skalierbar und zuverlässig ist.

Amazon ECR speichert Images in Amazon-S3-Buckets, die Amazon ECR verwaltet. Jedes Amazon ECR-Repository hat eine Verschlüsselungskonfiguration, die bei der Erstellung des Repositorys festgelegt wird. Amazon ECR verwendet standardmäßig eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3). Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand(Amazon ECR-Dokumentation).

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

  • Anstatt die serverseitige Verschlüsselung mit Amazon-S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3) zu verwenden, verwenden Sie kundenverwalteten KMS-Schlüssel, die in AWS KMS gespeichert sind. Dieser Schlüsseltyp bietet die detailliertesten Steuerungsoptionen.

    Anmerkung

    Der KMS-Schlüssel muss sich im selben Verzeichnis befinden AWS-Region wie das Repository.

  • Widerrufen Sie nicht die Berechtigungen, die Amazon ECR standardmäßig erstellt, wenn Sie ein Repository bereitstellen. Dies kann sich auf Funktionen auswirken, z. B. auf den Zugriff auf Daten, die Verschlüsselung neuer Bilder, die in das Repository übertragen werden, oder deren Entschlüsselung, wenn sie abgerufen werden.

  • Wird verwendet AWS CloudTrail , um die Anfragen aufzuzeichnen, an die Amazon ECR sendet. AWS KMS Die Protokolleinträge enthalten einen Verschlüsselungskontextschlüssel, damit sie leichter identifizierbar sind.

  • Konfigurieren Sie Amazon ECR-Richtlinien, um den Zugriff von bestimmten Amazon VPC-Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte Amazon-ECR-Ressource isoliert und der Zugriff nur von der spezifischen VPC aus ermöglicht. Indem Sie eine Virtual Private Network (VPN)-Verbindung mit einem Amazon-VPC-Endpunkt herstellen, können Sie Daten während der Übertragung verschlüsseln.

  • Amazon ECR unterstützt ressourcenbasierte Richtlinien. Mithilfe dieser Richtlinien können Sie den Zugriff auf der Grundlage der Quell-IP-Adresse oder der spezifischen IP-Adresse einschränken. AWS-Service