Best practice di crittografia per Amazon ECR - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di crittografia per Amazon ECR

Amazon Elastic Container Registry (Amazon ECR) è un servizio di registro delle immagini container gestito che offre sicurezza, scalabilità e affidabilità.

Amazon ECR memorizza le immagini nei bucket Amazon S3 gestiti da Amazon ECR. Ogni repository Amazon ECR dispone di una configurazione di crittografia che viene impostata al momento della creazione del repository. Per impostazione predefinita, Amazon ECR utilizza la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni, consulta la sezione Crittografia dei dati inattivi (Documentazione Amazon ECR).

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

  • Invece di utilizzare la crittografia lato server predefinita con le chiavi di crittografia gestite da Amazon S3 (SSE-S3), utilizza le chiavi KMS gestite dal cliente e archiviate in AWS KMS. Questo tipo di chiave offre le opzioni di controllo più granulari.

    Nota

    La chiave KMS deve esistere nello Regione AWS stesso archivio.

  • Non revocare le concessioni che Amazon ECR crea per impostazione predefinita quando esegui il provisioning di un repository. Ciò può influire sulle funzionalità, ad esempio l'accesso ai dati, la crittografia di nuove immagini inserite nel repository o la decrittografia delle stesse quando vengono estratte.

  • Utilizzato AWS CloudTrail per registrare le richieste inviate da Amazon ECR. AWS KMS Le voci di log contengono una chiave di contesto di crittografia per renderle più facilmente identificabili.

  • Configura le policy di Amazon ECR per controllare l'accesso da endpoint Amazon VPC specifici o specifici. VPCs Di fatto, questo isola l'accesso di rete a una risorsa Amazon ECR specifica, consentendo l'accesso solo dal VPC specifico. La creazione di una connessione di rete privata virtuale (VPN) con un endpoint Amazon VPC è possibile crittografare i dati in transito.

  • Amazon ECR supporta politiche basate sulle risorse. Utilizzando queste politiche, puoi limitare l'accesso in base all'indirizzo IP di origine o a uno specifico. Servizio AWS