일반

Q: Amazon Elastic Container Registry(Amazon ECR)란 무엇입니까?
Amazon ECR은 개발자가 컨테이너 이미지 및 아티팩트를 손쉽게 공유 및 배포할 수 있게 해 주는 완전관리형 컨테이너 레지스트리입니다. Amazon ECR은 Amazon Elastic Container Service(Amazon ECS), Amazon Elastic Kubernetes Service(Amazon EKS)AWS Lambda와 통합하여 개발에서 프로덕션까지의 워크플로를 간소화할 수 있습니다. Amazon ECR을 사용하면 자체 컨테이너 리포지토리를 운영하거나 기본 인프라 확장에 대해 걱정할 필요가 없습니다. Amazon ECR은 이미지를 가용성과 확장성이 뛰어난 아키텍처에 호스팅하여 애플리케이션을 위해 컨테이너를 안정적으로 배포할 수 있습니다. AWS Identity and Access Management(IAM)와 통합하면 각 리포지토리를 리소스 수준으로 제어할 수 있으므로 조직 전체 또는 전 세계 누구와도 이미지를 공유할 수 있습니다.
 
Q: Amazon ECR을 사용해야 하는 이유는 무엇입니까?
Amazon ECR을 사용하면 컨테이너 레지스트리를 지원하는 데 필요한 인프라를 운영 및 확장할 필요가 없습니다. Amazon ECR은 Amazon Simple Storage Service(S3)를 스토리지로 사용하여 컨테이너 이미지에 대한 뛰어난 가용성과 액세스를 제공하므로 애플리케이션을 위해 새로운 컨테이너를 안정적으로 배포할 수 있습니다. Amazon ECR은 HTTPS를 통해 컨테이너 이미지를 전송하고, 저장 이미지를 자동으로 암호화합니다. 정책을 구성하여 각 리포지토리에 대한 권한을 관리하고 IAM 사용자, 역할 또는 다른 AWS 계정에 대한 액세스를 제한할 수 있습니다. Amazon ECR은 Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda 및 Docker CLI와 통합하여 개발 및 프로덕션 워크플로를 간소화할 수 있습니다. 개발 머신에서 Dcoker CLI를 사용해 컨테이너 이미지를 Amazon ECR로 손쉽게 푸시하고, Amazon 컨테이너 오케스트레이터 또는 컴퓨팅은 프로덕션 배포를 위해 해당 이미지를 직접 가져올 수 있습니다.
 
Q: Amazon ECR의 요금은 어떻게 됩니까?
Amazon ECR에는 선수금이나 약정이 없습니다. 퍼블릭 또는 프라이빗 리포지토리에 저장한 데이터와 인터넷으로 전송한 데이터 양에 대한 요금만 지불합니다. 자세한 내용은 요금 페이지를 참조하세요.
 
Q: Amazon ECR은 글로벌 서비스입니까?
Amazon ECR은 리전별 서비스로, 이미지 배포 방법에 유연성을 제공하도록 설계되었습니다. 최적의 성능을 위해 Docker 클러스터를 실행하는 AWS 리전과 같은 리전으로 이미지를 푸시하고 가져오는 기능을 제공합니다. 또한, 데스크톱 및 온프레미스 환경과 같이 Docker가 실행되는 곳 어디에서나 Amazon ECR에 액세스할 수 있습니다. 리전 간에 또는 인터넷으로 이미지를 가져오는 경우, 대기 시간이 길어지고 데이터 전송 요금이 추가됩니다.
 
Q: Amazon ECR에서 퍼블릭 컨테이너 이미지를 호스팅할 수 있습니까?
예. Amazon ECR에는 퍼블릭 컨테이너 소프트웨어를 쉽게 공유하거나 검색할 수 있는 고가용성 컨테이너 레지스트리 및 웹 사이트가 있습니다. AWS 계정이 있든 없든 누구나 Amazon ECR 퍼블릭 갤러리를 사용하여 운영 체제, AWS 게시 이미지, Kubernetes용 Helm 차트와 같은 파일 등, 널리 사용되는 컨테이너 이미지를 검색하고 다운로드할 수 있습니다.
 
Q: Amazon ECR 퍼블릭 리포지토리와 프라이빗 리포지토리의 차이점은 무엇입니까?
프라이빗 리포지토리는 콘텐츠 검색 기능을 제공하지 않으며, AWS 계정 자격 증명을 사용한 Amazon IAM 기반 인증을 거쳐야 이미지를 가져올 수 있습니다. 퍼블릭 리포지토리에는 설명 콘텐츠가 있으며, 누구나 어디서든 AWS 계정 또는 IAM 자격 증명을 사용하지 않고도 이미지를 가져올 수 있습니다. 퍼블릭 리포지터리 이미지는 Amazon ECR 퍼블릭 갤러리에서도 사용할 수 있습니다.

Q: Amazon ECR에서 사용할 수 있는 규정 준수 기능에는 어떤 것이 있습니까?
Amazon ECR에서는 AWS CloudTrail을 사용하여 누가 이미지를 가져왔는지 이미지 간의 태그가 언제 이동되었는지 등과 같은 모든 API 작업 기록을 제공할 수 있습니다. 또한, 관리자는 어느 EC2 인스턴스가 어떤 이미지를 가져왔는지 확인할 수 있습니다.

Amazon ECR 사용

Q: Amazon ECR은 어떻게 시작합니까?
Amazon ECR을 시작하는 가장 좋은 방법은 Docker CLI를 사용해 첫 번째 이미지를 푸시하고 가져오는 것입니다. 자세한 내용은 시작하기 페이지를 참조하세요.

Q: VPC 내에서 Amazon ECR에 액세스할 수 있습니까?
예. AWS PrivateLink 엔드포인트를 설정하여 인스턴스가 퍼블릭 인터넷을 거치지 않고 프라이빗 리포지터리에서 이미지를 가져올 수 있습니다.

Q: 리포지토리와 이미지를 관리하는 가장 좋은 방법은 무엇입니까?
Amazon ECR에서는 리포지토리를 생성, 모니터링 및 삭제하고 리포지토리 권한을 설정할 수 있도록 명령줄 인터페이스와 API를 제공합니다. Amazon ECR 콘솔에서도 동일한 작업을 수행할 수 있으며, Amazon ECR 콘솔의 ‘리포지토리’ 섹션을 통해 여기에 액세스할 수 있습니다. 또한, Amazon ECR은 Docker CLI와 통합되므로 개발 머신에서 이미지를 푸시하고, 가져오며, 이미지에 태그를 지정할 수 있습니다.

Q: Amazon ECR을 사용하여 이미지를 공개적으로 공유하려면 어떻게 해야 합니까?
AWS 계정에 로그인하고 생성한 퍼블릭 리포지토리로 푸시하여 이미지를 Amazon ECR 퍼블릭 갤러리에 게시합니다. 게시하는 모든 퍼블릭 이미지를 식별할 수 있으며, 이미지 URL에 사용하려는 고유한 계정별 별칭이 할당됩니다.
 
Q: 내 퍼블릭 이미지에 사용자 지정 별칭을 사용할 수 있나요?
예. 예약된 별칭이 아니면 조직 또는 프로젝트 이름과 같은 사용자 지정 별칭을 요청할 수 있습니다. AWS 서비스를 식별하는 이름을 예약할 수 있습니다. AWS Marketplace 판매자를 식별하는 이름도 예약할 수 있습니다. 사용자 지정 별칭 요청은 AWS 이용 정책 또는 기타 AWS 정책에 위반되지 않는 한 며칠 내에 검토 및 승인됩니다.
 
Q: Amazon ECR에서 퍼블릭 이미지를 가져오려면 어떻게 해야 합니까?
이미지 URL에서 익숙한 'docker pull' 명령을 사용하여 가져옵니다. Amazon ECR 퍼블릭 갤러리를 사용하는 게시자 별칭, 이미지 이름 또는 이미지 설명으로 이미지를 찾음으로써 이 URL을 쉽게 검색할 수 있습니다. 이미지 URL은 public.ecr.aws/<alias>/<image>:<tag> 형식입니다(예: public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5).
 
Q: Amazon ECR에서는 AWS 리전 전체에서 이미지를 복제합니까?
예. Amazon ECR은 이미지를 저장하는 장소와 배포하는 방법에 대해 유연성을 제공하도록 설계되었습니다. 이미지를 구축하여 한 리전의 Amazon ECR로 푸시하는 배포 파이프라인을 생성할 수 있습니다. 그러면 Amazon ECR은 다중 리전 클러스터에 배포하도록 이미지를 다른 리전 및 계정에 자동으로 복제할 수 있습니다.

Q: 로컬 및 온프레미스 환경에서 Amazon ECR을 사용할 수 있습니까?
예. 데스크톱 및 온프레미스 환경과 같이 Docker가 실행되는 곳 어디에서나 Amazon ECR에 액세스할 수 있습니다.

Q: Amazon ECR 퍼블릭 갤러리는 AWS 게시 이미지를 제공합니까?
예. Amazon EKS, Amazon SageMaker 및 AWS Lambda와 같은 서비스는 공식 퍼블릭 컨테이너 이미지 및 아티팩트를 Amazon ECR에 게시합니다.  

Q: Amazon ECR은 Amazon ECS와 연동됩니까?
예. Amazon ECR은 Amazon ECS와 통합되어 Amazon ECS에서 실행되는 애플리케이션에 대한 컨테이너 이미지를 손쉽게 저장, 실행 및 관리할 수 있습니다. 태스크 정의에 Amazon ECR 리포지토리를 지정하기만 하면 Amazon ECS에서 애플리케이션에 적합한 이미지를 검색합니다.

Q: Amazon ECR은 AWS Elastic Beanstalk와 연동됩니까?
예. 현재 AWS Elastic Beanstalk는 단일 및 다중 컨테이너 Docker 환경 모두를 위한 Amazon ECR을 지원하므로 AWS Elastic Beanstalk를 사용하여 Amazon ECR에 저장된 컨테이너 이미지를 손쉽게 배포할 수 있습니다. Dockerrun.aws.json 구성에서 Amazon ECR 리포지토리를 지정하고 AmazonEC2ContainerRegistryReadOnly 정책을 컨테이너 인스턴스 역할에 연결하기만 하면 됩니다.

Q: Amazon ECR에서 지원하는 Docker 엔진 버전은 어떻게 됩니까?
현재 Amazon ECR에서는 Docker 엔진 1.7.0 이상을 지원합니다.

Q: Amazon ECR에서 지원하는 Docker 레지스트리 API 버전은 어떻게 됩니까?
Amazon ECR에서는 Docker 레지스트리 V2 API 사양을 지원합니다.

Q: Amazon ECR는 Dockerfile에서 이미지를 자동으로 구축합니까?
아니요. 하지만 Amazon ECR은 여러 인기 있는 CI/CD 솔루션과 통합되어 이러한 기능을 제공할 수 있습니다. 자세한 내용은 Amazon ECR 파트너 페이지를 참조하세요.

Q: Amazon ECR은 연동 액세스를 지원합니까?
예. Amazon ECR은 AWS Identity and Access Management(IAM)와 통합되어 AWS 관리 콘솔 또는 AWS API에 대한 위임된 액세스를 위한 자격 증명 연동을 지원합니다.

Q: Amazon ECR에서 지원하는 도커 이미지 매니페스트 사양의 버전은 어떻게 됩니까?
Amazon ECR에서는 Docker 이미지 매니페스트 V2, 스키마 2 형식을 지원합니다. 스키마 1 이미지와의 역방향 호환성을 유지하기 위해 Amazon ECR에서는 스키마 1 형식으로 업로드되는 이미지도 계속 허용할 것입니다. 또한, Amazon ECR에서는 이전 버전의 Docker 엔진(1.9 이하)을 가져올 때 스키마 2에서 스키마 1 이미지로 버전을 낮춰서 변환합니다.

Q: Amazon ECR에서는 Open Container Initiative(OCI) 형식을 지원합니까?
예. Amazon ECR은 OCI(Open Container Initiative) 이미지 사양과 호환되므로 OCI 이미지 및 아티팩트를 푸시하고 가져올 수 있습니다. 또한, 끌어온 Docker 이미지 매니페스트 V2, 스키마 2 이미지와 OCI 이미지를 서로 변환할 수 있습니다.

보안

Q: Amazon ECR에서는 컨테이너 이미지 보안을 어떻게 지원합니까?
Amazon ECR에서는 Amazon S3 서버 측 암호화 또는 AWS KMS 암호화를 사용하여 저장 이미지를 자동으로 암호화하고 HTTPS를 통해 컨테이너 이미지를 전송합니다. EC2 인스턴스에서 직접 자격 증명을 관리할 필요 없이 AWS Identity and Access Management(IAM) 사용자 및 역할을 사용하여 이미지에 대한 권한을 관리하고 액세스를 제어하는 정책을 구성할 수 있습니다.

Q: 권한과 관련하여 AWS Identity and Access Management(IAM)를 어떻게 사용할 수 있습니까?
IAM 리소스 기반 정책을 사용하여 컨테이너 이미지에 액세스할 수 있는 사람 및 대상(예: EC2 인스턴스), 그리고 이들이 액세스할 수 있는 방법, 시점 및 위치도 제어하고 모니터링할 수 있습니다. 시작하려면 AWS 관리 콘솔에서 리포지토리에 대한 리소스 기반 정책을 생성합니다. 또는 샘플 정책을 사용하여 Amazon ECR CLI를 통해 리포지토리에 정책을 연결할 수도 있습니다.

Q: AWS 계정 전체에서 이미지를 공유할 수 있습니까?
예. 다음의 예는 교차 계정 이미지 공유에 대한 정책을 만들고 설정하는 방법을 보여줍니다.

Q: Amazon ECR은 컨테이너 이미지에서 취약성을 스캔합니까?
Amazon ECR을 활성화하여 광범위한 운영 체제 취약성에 대해 컨테이너 이미지를 자동으로 스캔할 수 있습니다. API 명령을 사용하여 이미지를 스캔할 수도 있으며 스캔이 완료되면 Amazon ECR이 API와 콘솔을 통해 알려줍니다. 향상된 이미지 스캔을 위해 Amazon Inspector를 켤 수 있습니다.

Amazon ECR 요금에 대해 자세히 알아보기

요금 페이지로 이동하기
구축할 준비가 되셨습니까?
Amazon ECR 시작하기
추가 질문이 있으십니까?
문의하기