Bonnes pratiques de chiffrement pour Amazon ECR - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de chiffrement pour Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) est un service de registre d'images de conteneur géré, sécurisé, évolutif et fiable.

Amazon ECR stocke les images dans des compartiments Amazon S3 gérés par Amazon ECR. Chaque référentiel Amazon ECR dispose d'une configuration de chiffrement, qui est définie lors de la création du référentiel. Par défaut, Amazon ECR utilise un chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour plus d'informations, veuillez consulter Chiffrement au repos (documentation Amazon ECR).

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

  • Au lieu d'utiliser le chiffrement côté serveur par défaut avec des clés de chiffrement gérées par Amazon S3 (SSE-S3), utilisez des clés KMS gérées par le client et stockées dans AWS KMS. Ce type de clé fournit les options de contrôle les plus détaillées.

    Note

    La clé KMS doit se trouver au même Région AWS endroit que le référentiel.

  • Ne révoquez pas les octrois créés par défaut par Amazon ECR lorsque vous allouez un référentiel. Cela peut affecter les fonctionnalités, telles que l'accès aux données, le chiffrement des nouvelles images envoyées au référentiel ou leur déchiffrement lors de leur extraction.

  • AWS CloudTrail À utiliser pour enregistrer les demandes auxquelles Amazon ECR envoie AWS KMS. Les entrées de journal contiennent une clé de contexte de chiffrement afin de les rendre plus facilement identifiables.

  • Configurez les politiques Amazon ECR pour contrôler l'accès depuis des points de terminaison Amazon VPC spécifiques ou spécifiques. VPCs En effet, cela permet d'isoler l'accès réseau vers une ressource Amazon ECR spécifique, ce qui offre un accès depuis le VPC spécifique. En établissant une connexion de réseau privé virtuel (VPN) avec un point de terminaison d'un VPC Amazon, vous pouvez chiffrer les données en transit.

  • Amazon ECR prend en charge les politiques basées sur les ressources. À l'aide de ces politiques, vous pouvez restreindre l'accès en fonction de l'adresse IP source ou de l'adresse IP spécifique Service AWS.