发布于: Jul 29, 2020

Amazon Elastic Container Registry (ECR) 现在支持使用由 AWS Key Management Service (KMS) 管理的客户主密钥 (CMK) 对存储在 ECR 存储库中的容器映像进行加密。AWS KMS 是一项易于使用的密钥管理服务,可让您轻松创建、管理和控制密钥,从而对数据进行加密和解密。通过为静止的容器映像选择基于 KMS 的加密,您可以在使用这些密钥对加密的 ECR 映像访问进行审计、访问控制和监控方面满足更严格的安全性和合规性要求。

默认情况下,已使用行业标准 AES-256 加密算法对您推送到 ECR 的每个映像进行了加密。这通常可以满足您的安全要求,因为它可以保护静态数据。但是,如果您的新客户需要不同的标准集,或者您存储在映像中的内容类型发生了变化,那么您的需求可能会有所变化。现在,使用 AWS KMS 加密,在加密静态映像时,您可以选择 AWS 管理的 CMK,也可以选择您自己管理的 CMK。这样,您可以满足 PCI-DSS 合规性要求,以便对存储和加密进行单独的的身份验证、对关键资料实施基于 KMS 的控制,以及允许您在加密和解密时对映像进行审计。启用此功能后,ECR 在推送映像时会自动使用 CMK 加密映像,而在拉取映像时会自动使用 CMK 对其进行解密。

ECR 已在所有公共 AWS 区域和 AWS GovCloud (US) 区域推出 KMS 加密功能。通过此博客了解更多信息,并按照我们的文档进行操作,开始使用这一全新的 ECR 功能。