Amazon Elastic Container Registry - AWSBimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon Elastic Container Registry

Amazon Elastic Container Registry (Amazon ECR) adalah layanan registri gambar kontainer terkelola yang aman, terukur, dan andal.

Amazon ECR menyimpan citra di bucket Amazon S3 yang dikelola Amazon ECR. Setiap repositori Amazon ECR memiliki konfigurasi enkripsi, yang diatur saat repositori tersebut dibuat. Secara default, Amazon ECR menggunakan enkripsi sisi server dengan kunci enkripsi Amazon S3-managed (SSE-S3). Untuk informasi selengkapnya, lihat Enkripsi saat istirahat (dokumentasi Amazon ECR).

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

  • Alih-alih menggunakan enkripsi sisi server default dengan kunci enkripsi Amazon S3-managed (SSE-S3), gunakan kunci KMS yang dikelola pelanggan yang disimpan. AWS KMS Jenis kunci ini menyediakan opsi kontrol paling granular.

    catatan

    Kunci KMS harus ada Wilayah AWS sama dengan repositori.

  • Jangan mencabut hibah yang dibuat Amazon ECR secara default saat Anda menyediakan repositori. Ini dapat memengaruhi fungsionalitas, seperti mengakses data, mengenkripsi gambar baru yang didorong ke repositori, atau mendekripsi ketika ditarik.

  • Gunakan AWS CloudTrail untuk merekam permintaan yang dikirimkan Amazon ECR. AWS KMS Entri log berisi kunci konteks enkripsi untuk membuatnya lebih mudah diidentifikasi.

  • Konfigurasikan kebijakan Amazon ECR untuk mengontrol akses dari titik akhir VPC Amazon tertentu atau VPC tertentu. Secara efektif, ini mengisolasi akses jaringan ke sumber daya Amazon ECR tertentu, yang memungkinkan akses hanya dari VPC tertentu. Dengan membuat koneksi jaringan pribadi virtual (VPN) dengan titik akhir Amazon VPC, Anda dapat mengenkripsi data dalam perjalanan.

  • Amazon ECR mendukung kebijakan berbasis sumber daya Dengan menggunakan kebijakan ini, Anda dapat membatasi akses berdasarkan alamat IP sumber atau spesifik. Layanan AWS