本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon ECR 的加密最佳实践
Amazon Elastic Container Registry(Amazon ECR)是一项安全、可扩展且可靠的托管容器映像注册表服务。
Amazon ECR 将映像存储在 Amazon ECR 管理的 Amazon S3 存储桶中。每个 Amazon ECR 存储库都有一个加密配置,该配置是在创建存储库时设置的。默认情况下,Amazon ECR 使用具有 Amazon S3 托管的(SSE-S3)加密密钥的服务器端加密。有关更多信息,请参阅 Encryption at rest(Amazon ECR 文档)。
考虑下面针对该服务的加密最佳实践:
-
使用 AWS KMS中存储的客户管理的 KMS 密钥,而不是使用具有 Amazon S3 托管的(SSE-S3)加密密钥的默认服务器端加密。这种密钥类型提供了最精细的控制选项。
注意
KMS 密钥必须与存储库位于同一 AWS 区域 位置。
-
在预置存储库时,请勿撤销 Amazon ECR 默认创建的授权。这可能会影响功能,比如访问数据、对推送到存储库的新图像进行加密或在提取时对其进行解密。
-
AWS CloudTrail 用于记录 Amazon ECR 向其发送的 AWS KMS请求。日志条目包含加密上下文密钥,以便更容易识别它们。
-
配置 Amazon ECR 策略以控制来自特定亚马逊 VPC 终端节点或特定 VPCs终端节点的访问。实际上,这隔离了对特定 Amazon ECR 资源的网络访问,仅允许从特定 VPC 访问。通过与 Amazon VPC 端点建立虚拟专用网络(VPN)连接,您可以对传输中数据进行加密。
-
Amazon ECR 支持基于资源的策略。使用这些策略,您可以根据源 IP 地址或具体地址来限制访问权限 AWS 服务。
