发布于: Jul 29, 2020
Amazon Elastic Container Registry (ECR) 现在支持使用由 AWS Key Management Service (KMS) 管理的 AWS KMS 密钥对存储在 ECR 存储库中的容器镜像进行加密。AWS KMS 是一项易于使用的密钥管理服务,可让您轻松创建、管理和控制密钥,从而对数据进行加密和解密。通过为静止的容器映像选择基于 KMS 的加密,您可以在使用这些密钥对加密的 ECR 映像访问进行审计、访问控制和监控方面满足更严格的安全性和合规性要求。
默认情况下,已使用行业标准 AES-256 加密算法对您推送到 ECR 的每个映像进行了加密。这通常可以满足您的安全要求,因为它可以保护静态数据。但是,如果您的新客户需要不同的标准集,或者您存储在镜像中的内容类型发生了变化,那么您的需求可能会有所变化。现在,使用 AWS KMS 加密,在加密静态镜像时,您可以选择 AWS 管理的 KMS 密钥,也可以选择您自己管理的 KMS 密钥。这样,您可以满足 PCI-DSS 合规性要求,以便对存储和加密进行单独的的身份验证、对关键资料实施基于 KMS 的控制,以及允许您在加密和解密时对镜像进行审计。启用此功能后,ECR 在推送镜像时会自动使用 KMS 密钥加密镜像,而在拉取镜像时会自动使用 KMS 密钥对其进行解密。