Melhores práticas de criptografia para o Amazon ECR - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas de criptografia para o Amazon ECR

O Amazon Elastic Container Registry (Amazon ECR) é um serviço gerenciado de registro de imagens de contêineres seguro, escalável e confiável.

O Amazon ECR armazena imagens em buckets do Amazon S3 gerenciados pelo Amazon ECR. Cada repositório do Amazon ECR tem uma configuração de criptografia, que é definida quando o repositório é criado. Por padrão, o Amazon ECR usar criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) Para obter mais informações, consulte Criptografia em repouso (documentação do Amazon ECR).

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • Em vez de usar a criptografia do lado do servidor padrão com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3), use chaves do KMS gerenciadas pelo cliente armazenadas no AWS KMS. Esse tipo de chave fornece as opções de controle mais granulares.

    nota

    A chave KMS deve existir da mesma forma que Região da AWS o repositório.

  • Não revogue as concessões que o Amazon ECR cria por padrão quando você provisiona um repositório. Isso pode afetar a funcionalidade, como acessar dados, criptografar novas imagens enviadas ao repositório ou descriptografá-las ao serem extraídas.

  • Use AWS CloudTrail para registrar as solicitações que o Amazon ECR envia para AWS KMS. As entradas no log contêm uma chave de contexto de criptografia para facilitar a identificação.

  • Configure as políticas do Amazon ECR para controlar o acesso de endpoints específicos da Amazon VPC ou específicos. VPCs Efetivamente, isso isola o acesso via rede a um determinado recurso do Amazon ECR, permitindo o acesso somente por meio da VPC específica. Ao estabelecer uma conexão de rede privada virtual (VPN) com um endpoint da Amazon VPC, é possível criptografar os dados em trânsito.

  • O Amazon ECR oferece suporte a políticas baseadas em recursos. Usando essas políticas, você pode restringir o acesso com base no endereço IP de origem ou no específico AWS service (Serviço da AWS).