Praktik terbaik enkripsi untuk Amazon ECR

Amazon Elastic Container Registry (AmazonECR) adalah layanan registri gambar kontainer terkelola yang aman, terukur, dan andal.

Amazon ECR menyimpan gambar di ember Amazon S3 yang dikelola Amazon. ECR Setiap ECR repositori Amazon memiliki konfigurasi enkripsi, yang diatur saat repositori dibuat. Secara default, Amazon ECR menggunakan enkripsi sisi server dengan kunci enkripsi Amazon S3-managed (SSE-S3). Untuk informasi selengkapnya, lihat Enkripsi saat istirahat (ECRdokumentasi Amazon).

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

• Alih-alih menggunakan enkripsi sisi server default dengan kunci enkripsi Amazon S3-managed (SSE-S3), gunakan kunci terkelola pelanggan yang disimpan di dalamnya. KMS AWS KMS Jenis kunci ini menyediakan opsi kontrol paling granular.

  catatan

  KMSKuncinya harus ada Wilayah AWS sama dengan repositori.

• Jangan mencabut hibah yang ECR dibuat Amazon secara default saat Anda menyediakan repositori. Ini dapat memengaruhi fungsionalitas, seperti mengakses data, mengenkripsi gambar baru yang didorong ke repositori, atau mendekripsi ketika ditarik.

• Gunakan AWS CloudTrail untuk merekam permintaan yang ECR dikirimkan Amazon AWS KMS. Entri log berisi kunci konteks enkripsi untuk membuatnya lebih mudah diidentifikasi.

• Konfigurasikan ECR kebijakan Amazon untuk mengontrol akses dari VPC titik akhir Amazon tertentu atau spesifikVPCs. Secara efektif, ini mengisolasi akses jaringan ke ECR sumber daya Amazon tertentu, memungkinkan akses hanya dari yang spesifikVPC. Dengan membuat koneksi jaringan pribadi virtual (VPN) dengan VPC titik akhir Amazon, Anda dapat mengenkripsi data dalam perjalanan.

• Amazon ECR mendukung kebijakan berbasis sumber daya. Dengan menggunakan kebijakan ini, Anda dapat membatasi akses berdasarkan alamat IP sumber atau spesifik Layanan AWS.