翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECR の暗号化のベストプラクティス
Amazon Elastic Container Registry (Amazon ECR) は、セキュリティ、スケーラビリティ、信頼性を備えたマネージドコンテナイメージレジストリサービスです。
Amazon ECR は、Amazon ECR が管理する Amazon S3 バケットにイメージを保存します。各 Amazon ECR リポジトリには、リポジトリの作成時に設定される暗号化設定があります。デフォルトでは、Amazon ECR は Amazon S3 が管理する (SSE−S3) 暗号化キーによるサーバー側の暗号化を使用します。詳細については、「保管時の暗号化」(Amazon ECR ドキュメント) を参照してください。
このサービスでは、以下の暗号化のベストプラクティスを検討してください。
-
Amazon S3 が管理する (SSE-S3) 暗号化キーによるサーバー側暗号化 (デフォルト) を使用する代わりに、 AWS KMSに保存されているカスタマーマネージド KMS キーを使用します。このキータイプは最もきめ細かい管理オプションを提供します。
注記
KMS キーは、リポジトリ AWS リージョン と同じ に存在する必要があります。
-
リポジトリのプロビジョニング時に Amazon ECR がデフォルトで作成する権限を取り消さないでください。取り消した場合、データへのアクセス、リポジトリにプッシュされた新しいイメージの暗号化、イメージがプルされた時の復号化などの機能に影響する可能性があります。
-
を使用して AWS CloudTrail 、Amazon ECR が送信するリクエストを記録します AWS KMS。ログエントリには、より簡単に識別できるように暗号化コンテキストキーが含まれています。
-
特定の Amazon VPC エンドポイントまたは特定の VPC からのアクセスを制御するように Amazon ECR ポリシーを設定します。これにより、実質的に特定の Amazon ECR リソースへのネットワークアクセスが分離され、特定の VPC からのアクセスのみが許可されます。Amazon VPC エンドポイントとの仮想プライベートネットワーク (VPN) 接続を確立すると、転送中のデータを暗号化できます。
-
Amazon ECR はリソースベースのポリシーをサポートしています。これらのポリシーを使用して、送信元 IP アドレスまたは特定の に基づいてアクセスを制限できます AWS のサービス。
