Aspectos generales

P: ¿Qué es Amazon Elastic Container Registry (ECR)?
Amazon Elastic Container Registry (ECR) es un registro de contenedores completamente administrado que facilita a los desarrolladores compartir e implementar artefactos e imágenes de contenedores. Amazon ECR se integra con Amazon Elastic Container Service (ECS), Amazon Elastic Kubernetes Service (EKS) y AWS Lambda lo que permite simplificar el desarrollo para el flujo de trabajo de producción. Con Amazon ECR, ya no es necesario que utilice sus propios repositorios de contenedores ni que se preocupe por escalar la infraestructura subyacente. Amazon ECR hospeda sus imágenes en una arquitectura escalable y de alta disponibilidad, lo que le permite implementar contenedores para sus aplicaciones con fiabilidad. La integración con AWS Identity and Access Management (IAM) brinda un control a nivel de recursos de cada repositorio que le permite compartir imágenes en toda su organización o con cualquier persona del mundo.
 
P: ¿Por qué debería utilizar Amazon ECR?
Con Amazon ECR ya no es necesario utilizar ni escalar la infraestructura necesaria para procesar el registro de contenedores. Amazon ECR usa Amazon S3 para el almacenamiento, de modo que maximiza la disponibilidad y la accesibilidad de las imágenes de sus contenedores y le permite implementar nuevos contenedores para las aplicaciones de manera fiable. Amazon ECR transfiere las imágenes de los contenedores mediante HTTPS y las cifra automáticamente en reposo. Puede configurar políticas para gestionar los permisos en cada repositorio y restringir el acceso a usuarios y funciones de IAM u otras cuentas de AWS. Amazon ECR se integra con Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda y la CLI de Docker, lo que le permite simplificar los flujos de trabajo de desarrollo y producción. Puede insertar fácilmente las imágenes de contenedores en Amazon ECR con la interfaz de línea de comandos (CLI) de Docker desde el equipo de desarrollo, y los organizadores de contenedores o recursos informáticos de Amazon pueden extraerlas directamente para las implementaciones de producción.
 
P: ¿Cuánto cuesta Amazon ECR?
Con Amazon ECR no hay cuotas predefinidas ni compromisos. Solo tiene que pagar por la cantidad de datos almacenados en los repositorios públicos o privados y por los datos transferidos a Internet. Consulte nuestra página de precios para obtener más detalles.
 
P: ¿Amazon ECR es un servicio internacional?
Amazon ECR es un servicio regional y está diseñado para proporcionarle flexibilidad en la implementación de imágenes. Puede insertar y extraer imágenes en la misma región donde se ejecute su clúster de Docker para disfrutar del mejor desempeño. También puede acceder a Amazon ECR en cualquier lugar donde se ejecute Docker, como equipos y el entorno de sus instalaciones. La extracción de imágenes entre regiones o en Internet repercutirá en la latencia y tendrá costos adicionales por transferencia de datos.
 
P: ¿Amazon ECR puede alojar imágenes de contenedores públicos?
Sí. Amazon ECR cuenta con un sitio web y un registro de contenedores de alta disponibilidad que facilita compartir o buscar software de contenedores públicos. Cualquier persona, sin importar si tiene una cuenta de AWS, puede utilizar la galería pública de ECR para buscar y descargar imágenes de contenedores de uso común, como sistemas operativos, imágenes publicadas de AWS y archivos como gráficos de Helm para Kubernetes.
 
P: ¿Cuál es la diferencia entre los repositorios públicos y privados de Amazon ECR?
Un repositorio privado no le ofrece las capacidades de búsqueda de contenidos y requiere autenticación basada en Amazon IAM con credenciales de cuenta de AWS antes de extraer las imágenes. Un repositorio público dispone de contenido descriptivo y permite a cualquier persona desde cualquier lugar extraer imágenes sin necesidad de utilizar una cuenta de AWS o credenciales de IAM. Las imágenes de repositorios públicos también están disponibles en la galería pública de ECR.

P: ¿Qué capacidades de cumplimiento puedo activar en Amazon ECR?
Puede usar AWS CloudTrail en Amazon ECR para proporcionar un historial de todas las acciones de API, como quién extrae una imagen y cuándo se mueven etiquetas entre imágenes. Los administradores también pueden buscar qué instancias EC2 extrajeron qué imágenes.

Uso de Amazon ECR

P: ¿Cómo puedo comenzar a utilizar Amazon ECR?
La mejor forma de comenzar a utilizar Amazon ECR es emplear la CLI de Docker para insertar y extraer su primera imagen. Visite nuestra página Introducción para obtener más información.

P: ¿Puedo obtener acceso a Amazon ECR desde una VPC?
Sí. Es posible configurar puntos de enlace de AWS PrivateLink para permitir a sus instancias obtener imágenes desde sus repositorios privados sin atravesar la Internet pública.

P: ¿Cuál es el mejor modo de gestionar mis repositorios e imágenes?
Amazon ECR proporciona una interfaz de línea de comandos y API para crear, supervisar y eliminar repositorios, y establecer permisos en repositorios. Puede realizar las mismas acciones en la consola de administración de Amazon ECR, a la que puede obtener acceso a través la sección “Repositorios” de la consola de Amazon ECR. Amazon ECR también se integra con la CLI de Docker, lo que le permite insertar, extraer y agregar etiquetas a imágenes en su equipo de desarrollo.

P: ¿Cómo comparto una imagen de manera pública mediante ECR?
Puede publicar una imagen en la galería pública de ECR si inicia sesión en su cuenta de AWS y la envía a un repositorio público que haya creado. Se le asignará un alias único por cuenta para utilizarlo en URL de imágenes que identificará todas las imágenes publicas que publique.
 
P: ¿Puedo utilizar un alias personalizado para mis imágenes públicas?
Sí. Puede solicitar un alias personalizado como el nombre del proyecto o de su organización, a menos que sea un alias reservado. Los nombres que identifican a los servicios de AWS están reservados. Los nombres que identifican a los vendedores de AWS Marketplace también pueden estar reservados. Revisaremos y aprobaremos su solicitud de alias personalizado en el plazo de varios días a menos que dicha solicitud infrinja la Política de uso aceptable de AWS u otras políticas de AWS.
 
P: ¿Cómo extraigo una imagen pública de ECR?
Para extraer debe utilizar el conocido comando “docker pull” con la URL de la imagen. Puede buscar fácilmente esta URL al encontrar imágenes con un alias de editor, nombre de imagen o descripción de imagen a través de la galería pública de ECR. Las URL de imagen tienen el formato public.ecr.aws/<alias>/<imagen>:<etiqueta>, por ejemplo: public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
 
P: ¿Amazon ECR replica imágenes entre regiones?
Sí. Amazon ECR está diseñado para darle flexibilidad en el almacenamiento y la implementación de sus imágenes. Puede crear canalizaciones de implementación para crear imágenes, publicarlas en Amazon ECR en una región y que Amazon ECR las replique de manera automática en otras regiones y cuentas para la implementación en clústeres de varias regiones.

P: ¿Puedo usar Amazon ECR en entornos locales y en mis instalaciones?
Sí. Puede obtener acceso a Amazon ECR en cualquier lugar donde se ejecute Docker, como en equipos y en el entorno de sus instalaciones.

P: ¿La galería pública de Amazon ECR brinda imágenes publicadas de AWS?
Sí. Servicios como Amazon Elastic Kubernetes Service (EKS), Amazon Sagemaker y AWS Lambda publican sus artefactos e imágenes de contenedores de uso público oficiales en Amazon ECR.  

P: ¿Amazon ECR funciona con Amazon ECS?
Sí. Amazon ECR está integrado con Amazon ECS, lo que le permite almacenar, ejecutar y administrar con facilidad imágenes de contenedores para aplicaciones que se ejecutan en Amazon ECS. Lo único que necesita es especificar el repositorio de Amazon ECR en la definición de tareas, y Amazon ECS recuperará las imágenes adecuadas para las aplicaciones.

P: ¿Amazon ECR funciona con AWS Elastic Beanstalk?
Sí. AWS Elastic Beanstalk admite Amazon ECR para entornos de Docker de un contenedor y multicontenedor, lo que le permite implementar fácilmente imágenes de contenedores que se encuentran en Amazon ECR en AWS Elastic Beanstalk. Todo lo que tiene que hacer es especificar el repositorio de Amazon ECR en su configuración Dockerrun.aws.json y adjuntar la política AmazonEC2ContainerRegistryReadOnly a la función de la instancia de su contenedor.

P: ¿Qué versión de Docker Engine admite Amazon ECR?
Actualmente, Amazon ECR admite Docker Engine 1.7.0 y versiones superiores.

P: ¿Qué versión de la API de Docker Registry admite Amazon ECR?
Amazon ECR admite la especificación de API V2 de Docker Registry.

P: ¿Amazon ECR compila imágenes automáticamente a partir de un archivo Docker?
No. Sin embargo, Amazon ECR se integra con varias soluciones conocidas de integración continua/implementación continua para ofrecer esta característica. Consulte la página de socios de Amazon ECR para obtener más información.

P: ¿Amazon ECR admite el acceso federado?
Sí. Amazon ECR se integra con AWS Identity and Access Management, que admite la identidad federada para el acceso delegado a AWS Management Console o las API de AWS.

P: ¿Qué versión de la especificación del manifiesto de imágenes de Docker admite Amazon ECR?
Amazon ECR admite el formato de manifiesto de imágenes de Docker V2, esquema 2. Para mantener la compatibilidad con imágenes del esquema 1, Amazon ECR seguirá aceptando imágenes cargadas en este formato. Además, Amazon ECR puede traducir de una imagen de esquema 2 al esquema 1 al utilizar una versión más antigua del motor Docker (1.9 e inferior) en la recepción.

P: ¿Admite Amazon ECR el formato de la iniciativa de contenedores abiertos (OCI)?
Sí. Amazon ECR es compatible con la especificación de imágenes de la iniciativa de contenedores abiertos (OCI), lo que le permite enviar y recibir artefactos e imágenes OCI. Amazon ECR también puede traducir entre imágenes del manifiesto de imágenes de Docker V2, esquema 2 e imágenes OCI en la recepción.

Seguridad

P: ¿Cómo ayuda Amazon ECR a garantizar la seguridad de las imágenes de los contenedores?
Amazon ECR cifra automáticamente las imágenes en reposo usando el cifrado de servidor S3 o de AWS KMS y transfiere las imágenes de los contenedores mediante HTTPS. Puede configurar políticas para administrar permisos y controlar el acceso a las imágenes a través de usuarios y roles de AWS Identity and Access Management (IAM), sin tener que gestionar credenciales directamente en las instancias EC2.

P: ¿Cómo puedo usar AWS Identity and Access Management para permisos?
Puede usar las políticas basadas en recursos de IAM para controlar y supervisar quién y qué (p. ej., instancias EC2) puede obtener acceso a las imágenes de los contenedores, además de cómo, cuándo y dónde es posible el acceso. Para comenzar, use la consola de gestión para crear políticas basadas en recursos para sus repositorios. También puede utilizar políticas de ejemplo y adjuntarlas a sus repositorios a través de la CLI de Amazon ECR.

P: ¿Puedo compartir mis imágenes a través de cuentas de AWS?
Sí. Aquí puede ver un ejemplo de cómo crear y establecer una política para el uso compartido de imágenes entre cuentas.

P: ¿Amazon ECR analiza las imágenes de contenedores en busca de vulnerabilidades?
Sí. Amazon ECR puede escanear automáticamente sus imágenes de contenedores en busca de un amplio rango de vulnerabilidades de sistemas operativos cuando se habilita el escaneo al insertar imágenes en repositorios privados. También puede escanear imágenes mediante un comando de la API. ECR notifica cuando se completa un análisis y los resultados quedan disponibles en la consola y a través de la API.

Más información sobre los precios de Amazon ECR

Visite la página de precios
¿Listo para crear?
Introducción a Amazon ECR
¿Tiene más preguntas?
Contacte con nosotros