Mejores prácticas de cifrado para Amazon ECR - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de cifrado para Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) es un servicio de registro de imágenes de contenedor administrado que es seguro, escalable y fiable.

Amazon ECR almacena imágenes en depósitos de Amazon S3 que administra Amazon ECR. Cada repositorio de Amazon ECR tiene una configuración de cifrado, que se establece cuando este se crea. De forma predeterminada, Amazon ECR utiliza el cifrado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Para obtener más información, consulte Cifrado en reposo (documentación de Amazon ECR).

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • En lugar de utilizar el cifrado del servidor predeterminado con claves de cifrado administradas por Amazon S3 (SSE-S3), utilice claves de KMS administradas por el cliente y almacenadas en AWS KMS. Este tipo de claves ofrece las opciones de control más detalladas.

    nota

    La clave KMS debe estar en el mismo lugar Región de AWS que el repositorio.

  • No revoque las concesiones que Amazon ECR genera de forma predeterminada al aprovisionar un repositorio. Esto puede afectar a la funcionalidad, como el acceso a los datos, el cifrado de las imágenes nuevas enviadas al repositorio o su descifrado cuando se extraen.

  • Se utiliza AWS CloudTrail para registrar las solicitudes a las que envía Amazon ECR. AWS KMS Las entradas de registro incluyen una clave de contexto de cifrado para que sean más fáciles de identificar.

  • Configure las políticas de Amazon ECR para controlar el acceso desde puntos de enlace de Amazon VPC específicos o específicos. VPCs Este proceso aísla con eficacia el acceso de red a un recurso de Amazon ECR específico, lo que permite el acceso solo desde la VPC específica. Cuando se establece una conexión de red privada virtual (VPN) con un punto de conexión de Amazon VPC, se pueden cifrar los datos en tránsito.

  • Amazon ECR admite políticas basadas en recursos. Con estas políticas, puede restringir el acceso en función de la dirección IP de origen o de la dirección IP específica. Servicio de AWS