Questions d'ordre général
Un référentiel privé n'offre pas de fonctions de recherche de contenu et nécessite une authentification basée sur Amazon IAM à l'aide des informations d'identification de compte AWS avant d'autoriser l'extraction d'images. Un référentiel public possède un contenu descriptif. Il permet à n'importe qui d'extraire des images n'importe où sans disposer d'un compte AWS ni utiliser des informations d'identification IAM. Les images du référentiel public sont également disponibles dans la galerie publique Amazon ECR.
Utilisation d'Amazon ECR
Q : Comment commencer à utiliser Amazon ECR ?
Pour bien commencer avec Amazon ECR,utilisez la CLI Docker pour transférer et extraire votre première image. Pour plus d'informations, consultez la page Mise en route.
Q : Puis-je accéder à Amazon ECR à l'intérieur d'un VPC ?
Oui. En configurant des points de terminaison AWS PrivateLink, vous permettez à vos instances d'extraire des images de vos référentiels privés sans passer par l'Internet public.
Q : Comment puis-je bien gérer mes référentiels et mes images ?
Amazon ECR propose une interface de ligne de commande et des API pour créer, contrôler ou supprimer des référentiels, et définir des autorisations d'accès correspondantes. Vous pouvez effectuer les mêmes actions dans la console Amazon ECR, accessible depuis la section « Repositories » (Référentiels) de la console Amazon ECR. Amazon ECR s'intègre également à la CLI Docker. Par conséquent, vous pouvez transférer ou extraire des images, et les étiqueter sur votre machine de développement.
Q : Puis-je utiliser Amazon ECR dans des environnements locaux et sur site ?
Oui. Vous pouvez accéder à Amazon ECR n'importe où, que ce soit dans des bureaux ou sur site, pourvu que Docker fonctionne dans cet environnement.
Q : la galerie publique Amazon ECR fournit-elle des images publiées par AWS ?
Oui. Des services tels qu'Amazon EKS, Amazon SageMaker et AWS Lambda publient leurs images et artefacts de conteneurs à usage public officiels sur Amazon ECR.
Q : Amazon ECR fonctionne-t-il avec Amazon ECS ?
Oui. Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneurs pour les applications exécutées avec Amazon ECS. Précisez simplement le référentiel Amazon ECR dans votre définition de tâches, et Amazon ECS récupèrera les images appropriées pour vos applications.
Q : Amazon ECR fonctionne-t-il avec AWS Elastic Beanstalk ?
Oui. AWS Elastic Beanstalk prend en charge Amazon ECR pour les environnements Docker à conteneurs uniques et multiples, ce qui vous permet de déployer très facilement des images de conteneurs stockées dans Amazon ECR avec AWS Elastic Beanstalk. Il vous suffit d'indiquer le référentiel Amazon ECR dans votre configuration Dockerrun.aws.json et d'attacher la politique AmazonEC2ContainerRegistryReadOnly à votre rôle d'instance de conteneur.
Q : Quelle version de Docker Engine Amazon ECR prend-il en charge ?
Pour le moment, Amazon ECR prend en charge Docker Engine 1.7.0 et les versions supérieures.
Q : Quelle version de l'API Docker Registry Amazon ECR prend-il en charge ?
Amazon ECR prend en charge les spécifications de l'API Docker Registry V2.
Q : Amazon ECR crée-t-il automatiquement des images depuis un Dockerfile ?
Non, mais Amazon ECR s'intègre à plusieurs solutions CI/CD bien connues pour parvenir au même résultat. Pour plus d'informations, consultez la page Partenaires Amazon ECR.
Q : Amazon ECR prend-il en charge l'accès fédéré ?
Oui. Amazon ECR est intégré à AWS Identity and Access Management (IAM), qui prend en charge la fédération d'identité pour l'accès délégué à la console de gestion AWS ou aux API AWS.
Q : Quelle version de la spécification du manifeste d'image Docker est prise en charge par Amazon ECR ?
Amazon ECR prend en charge le format Schema 2 de Docker Image Manifest V2. Afin de maintenir une rétrocompatibilité avec les images au format Schema 1, Amazon ECR continuera d'accepter des images chargées au format Schema 1. En outre, Amazon ECR peut convertir une image Schema 2 en une image Schema 1 lorsque celle-ci est récupérée avec une ancienne version de Docker Engine (1.9 et versions antérieures).
Q : Amazon ECR prend-il en charge le format Open Container Initiative (OCI) ?
Oui. Amazon ECR est compatible avec la spécification d'image Open Container Initiative (OCI), ce qui vous permet de pousser et d'extraire des images et des artefacts OCI. Amazon ECR peut également convertir des images aux formats Docker Image Manifest V2, Schema 2 et OCI lorsqu'elles sont récupérées.
Sécurité
Q : Comment Amazon ECR garantit-il la sécurité des images de conteneurs ?
Amazon ECR chiffre automatiquement les images au repos à l'aide du chiffrement côté serveur Amazon S3 ou du chiffrement AWS KMS, et transfère vos images de conteneurs via HTTPS. Vous pouvez configurer des politiques pour gérer les autorisations et le contrôle des accès à vos images via des rôles et utilisateurs AWS Identity and Access Management (IAM), sans gérer les informations d'identification directement sur vos instances EC2.
Q : Comment gérer les autorisations avec AWS Identity and Access Management (IAM) ?
Vous pouvez utiliser les politiques IAM basées sur les ressources pour contrôler les personnes ou entités (par exemple, des instances EC2) qui peuvent accéder à vos images de conteneurs, et quand, comment et où elles y accèdent. Pour commencer, créez des politiques basées sur les ressources pour vos référentiels avec la console de gestion AWS. Vous pouvez aussi utiliser des exemples de politiques et les associer à vos référentiels par l'intermédiaire de l'interface de ligne de commande d'Amazon ECR.
Q : Puis-je partager mes images entre les comptes AWS ?
Oui. Par exemple, voici comment créer et établir une politique pour le partage d'images entre plusieurs comptes.
Q : Amazon ECR analyse-t-il les images de conteneurs à la recherche de vulnérabilités ?
Vous pouvez activer Amazon ECR pour qu'il analyse automatiquement les images de vos conteneurs pour un large éventail de vulnérabilités du système d'exploitation. Vous pouvez également analyser des images à l'aide d'une commande d'API, et Amazon ECR vous informera sur l'API et dans la console dès qu'une analyse est terminée. Pour une analyse améliorée des images, vous pouvez activer Amazon Inspector.
En savoir plus sur la tarification d'Amazon ECR