Amazon Elastic Container Registry 的基礎設施安全性

作為受管服務，Amazon Elastic Container Registry 受到 AWS 全球網路安全的保護。如需有關 AWS 安全服務以及如何 AWS 保護基礎設施的資訊，請參閱 AWS Cloud Security。若要使用基礎設施安全的最佳實務設計您的 AWS 環境，請參閱 Security Pillar AWS Well‐Architected Framework 中的基礎設施保護。

您可以使用 AWS 發佈的 API 呼叫透過網路存取 Amazon ECR。使用者端必須支援下列專案：

• Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議 TLS 1.3。

• 具有完美正向保密 (PFS) 的加密套件，例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外，必須使用與 IAM 主體相關聯的存取金鑰 ID 和秘密存取金鑰來簽署請求。或者，您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

您可以從任何網路位置呼叫這些 API 操作，但 Amazon ECR 支援資源型存取政策，其中可能包含根據來源 IP 地址的限制。您也可以使用 Amazon ECR 政策來控制來自特定 Amazon Virtual Private Cloud (Amazon VPC) 端點或特定 VPCs 的存取。實際上，這只會將對指定 Amazon ECR 資源的網路存取與 AWS 網路內的特定 VPC 隔離。如需詳細資訊，請參閱Amazon ECR 介面 VPC 端點 (AWS PrivateLink)。