Publié le: Jul 29, 2020

Amazon Elastic Container Registry (ECR) prend désormais en charge l'utilisation de clés CMK (clés principales client) gérées par AWS Key Management Service (KMS) pour chiffrer les images de conteneur stockées dans vos référentiels ECR. AWS KMS est un service de gestion de clés simple à utiliser qui vous permet de créer, gérer et contrôler facilement les clés pour chiffrer et déchiffrer vos données. En choisissant le chiffrement basé sur KMS de vos images de conteneur au repos, vous pouvez répondre à des exigences de sécurité et de conformité plus strictes en matière d'audit, de contrôle d'accès et de surveillance de l'accès aux images ECR chiffrées à l'aide de ces clés.

Chaque image que vous transférez vers ECR est déjà chiffrée par défaut à l'aide d'un algorithme de chiffrement AES-256 standard. Cet algorithme répond souvent à vos exigences de sécurité, car il protège les données au repos. Toutefois, vos besoins peuvent évoluer si vous offrez vos services à de nouveaux clients qui nécessitent un ensemble de normes différent ou si le type de contenu que vous stockez dans vos images change. Désormais, avec le chiffrement AWS KMS, vous pouvez choisir une clé CMK gérée par AWS ou votre propre clé CMK que vous gérez vous-même pour chiffrer vos images au repos. Cela vous offre la possibilité de prendre en charge les exigences de conformité PCI-DSS pour authentifier séparément le stockage et la cryptographie, avoir un contrôle basé sur KMS de votre matériel clé et vérifier lorsque les images sont chiffrées et déchiffrées. Lorsque cette fonctionnalité est activée, ECR chiffre automatiquement vos images avec une clé CMK lorsqu'elles sont transmises et les déchiffre lorsqu'elles sont extraites.

Le chiffrement KMS dans ECR est disponible dans toutes les régions AWS publiques et AWS GovCloud (US). Pour en savoir plus, consultez ce blog et commencez par lire notre documentation pour utiliser cette nouvelle fonctionnalité ECR.