Amazon ECR의 암호화 모범 사례

Amazon Elastic Container Registry(Amazon ECR)는 안전하고 확장 가능하고 신뢰할 수 있는 관리형 컨테이너 이미지 레지스트리 서비스입니다.

Amazon ECR은 Amazon ECR이 관리하는 Amazon S3 버킷에 이미지를 저장합니다. 각 Amazon ECR 리포지토리에는 리포지토리가 생성될 때 설정되는 암호화 구성이 있습니다. 기본적으로 Amazon ECR은 Amazon S3 관리형 (SSE-S3) 암호화 키로 서버측 암호화를 사용합니다. 자세한 내용은 저장 시 암호화(Amazon ECR 설명서)를 참조하세요.

이 서비스에 대해 다음 암호화 모범 사례를 고려하세요.

• Amazon S3 관리형(SSE-S3) 암호화 키를 사용한 기본 서버측 암호화를 사용하는 대신 AWS KMS에 저장된 고객 관리형 KMS 키를 사용합니다. 이 키 유형은 가장 세분화된 제어 옵션을 제공합니다.

  참고

  KMS 키는 리포지토리 AWS 리전 와 동일한에 있어야 합니다.

• 리포지토리를 프로비저닝할 때 Amazon ECR에서 기본적으로 생성하는 권한을 취소하지 마세요. 이는 데이터 액세스, 리포지토리로 푸시된 새 이미지 암호화, 이미지 가져오기 시 복호화 등의 기능에 영향을 미칠 수 있습니다.

• AWS CloudTrail 를 사용하여 Amazon ECR이 보내는 요청을 기록합니다 AWS KMS. 로그 항목에는 보다 쉽게 식별할 수 있도록 하는 암호화 컨텍스트 키가 포함되어 있습니다.

• 특정 Amazon VPC 엔드포인트 또는 특정 VPC에서 액세스를 제어하도록 Amazon ECR 정책을 구성합니다. 그러면 특정 Amazon ECR 리소스에 대한 네트워크 액세스가 차단되어 특정 VPC에서만 액세스할 수 있습니다. Amazon VPC 엔드포인트와 가상 프라이빗 네트워크(VPN) 연결을 설정하면 전송 중 데이터를 암호화할 수 있습니다.

• Amazon ECR은 리소스 기반 정책을 지원합니다. 이러한 정책을 사용하면 소스 IP 주소 또는 특정에 따라 액세스를 제한할 수 있습니다 AWS 서비스.