Généralités

Q : Qu'est-ce qu'Amazon Elastic Container Registry (ECR) ?
Amazon Elastic Container Registry (ECR) est un registre de conteneurs entièrement géré qui permet aux développeurs de partager et de déployer facilement des images et des artefacts de conteneurs. Amazon ECR est intégré à Amazon Elastic Container Service (ECS)Amazon Elastic Kubernetes Service (EKS), et AWS Lambda, ce qui simplifie votre processus de développement vers la production. Avec Amazon ECR, il n'est plus nécessaire de gérer vos propres référentiels de conteneurs ni de vous préoccuper du dimensionnement de l'infrastructure sous-jacente. Amazon ECR héberge vos images dans une architecture hautement disponible et évolutive, pour assurer un déploiement fiable des conteneurs destinés à vos applications. L'intégration avec AWS Identity and Access Management (IAM) fournit un contrôle au niveau des ressources de chaque référentiel qui vous permet de partager des images au sein de votre organisation ou avec n'importe qui dans le monde.
 
Q : Pourquoi devrais-je utiliser Amazon ECR ?
Avec Amazon ECR, vous n'avez plus besoin de gérer ni de dimensionner l'infrastructure requise pour faire fonctionner votre registre de conteneurs. Amazon ECR utilise Amazon S3 pour le stockage afin de rendre les images de conteneurs hautement disponibles et accessibles. Vous pouvez ainsi déployer de manière fiable de nouveaux conteneurs pour vos applications. Amazon ECR transfère les images de conteneur via le protocole HTTPS et les chiffre automatiquement au repos. Vous pouvez configurer des politiques afin de gérer les autorisations pour chaque référentiel et restreindre l'accès aux utilisateurs et rôles IAM ou aux autres comptes AWS. Amazon ECR s'intègre à Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda et la CLI Docker, ce qui vous permet de simplifier vos flux de travail de développement et de production. Vous pouvez facilement transférer vos images de conteneur vers Amazon ECR à l'aide de l'interface de ligne de commande Docker à partir de votre machine de développement, et les orchestrateurs de conteneurs Amazon ou le calcul peuvent les extraire directement pour les déploiements de production.
 
Q : Quelle est la tarification d'Amazon ECR ?
Avec Amazon ECR, il n'y a pas de frais initiaux ni d'engagement. Vous ne payez que pour la quantité de données que vous stockez dans vos référentiels publics ou privés et les données transférées sur Internet. Pour plus d'informations, consultez la page Tarification.
 
Q : Amazon ECR est-il un service mondial ?
Amazon ECR est un service régional, conçu pour vous apporter des solutions flexibles dans la manière dont sont déployées vos images. Afin de profiter des meilleures performances possibles, vous avez la possibilité de transférer ou récupérer des images dans la région de fonctionnement de votre cluster Docker. Vous pouvez également accéder à Amazon ECR n'importe où, que ce soit dans des bureaux ou sur site, pourvu que Docker fonctionne dans cet environnement. La récupération d'images entre deux régions ou sortant vers Internet entraînera des coûts de transfert de données supplémentaires et des temps de latence plus importants.
 
Q : Amazon ECR peut-il héberger des images de conteneurs publics ?
Oui. Amazon ECR dispose d'un registre de conteneurs et d'un site Web hautement disponibles qui vous permettent de partager ou de rechercher facilement des logiciels de conteneurs publics. Toute personne avec ou sans compte AWS peut utiliser la galerie publique ECR pour rechercher et télécharger des images de conteneur couramment utilisées, telles que des systèmes d'exploitation, des images publiées AWS et des fichiers tels que des graphiques de barre pour Kubernetes.
 
Q : quelle est la différence entre les référentiels publics et privés Amazon ECR ?
Un référentiel privé n'offre pas de fonctions de recherche de contenu et nécessite une authentification basée sur Amazon IAM à l'aide des informations d'identification de compte AWS avant d'autoriser l'extraction d'images. Un référentiel public a un contenu descriptif et permet à n'importe qui n'importe où d'extraire des images sans avoir besoin d'un compte AWS ou d'utiliser les informations d'identification IAM. Les images du référentiel public sont également disponibles dans la galerie publique ECR.

Q : Quelles capacités de conformité puis-je activer sur Amazon ECR ?
Vous pouvez utiliser AWS CloudTrail sur Amazon ECR pour fournir un historique de toutes les actions des API. Vous pouvez par exemple savoir qui a extrait une image et quand les balises ont été déplacées entre des images. Les administrateurs peuvent également savoir quelles instances EC2 ont été utilisées pour extraire quelles images.

Utilisation d'Amazon ECR

Q : Comment puis-je commencer à utiliser Amazon ECR ?
La meilleure façon de débuter avec Amazon ECR est d'utiliser l'interface de ligne de commande Docker pour transférer et récupérer votre première image. Pour plus d'informations, consultez la page Mise en route.

Q : Puis-je accéder à Amazon ECR à l'intérieur d'un VPC ?
Oui. Vous pouvez configurer les points de terminaison AWS PrivateLink pour permettre à vos instances d'extraire des images de vos référentiels privés sans passer par l'Internet public.

Q : Quelle est la meilleure façon de gérer mes référentiels et mes images ?
Amazon ECR propose une interface de ligne de commande et des API pour créer, gérer et supprimer des référentiels, ainsi que pour établir les autorisations concernant leur accès. Vous pouvez effectuer les mêmes actions dans la console de gestion Amazon ECR, accessible via la section « Référentiels » de la console Amazon ECR. Amazon ECR s'intègre également dans l'interface de ligne de commande Docker, ce qui vous permet de transférer ou récupérer des images, et de leur associer des balises sur votre machine de développement.

Q : comment partager publiquement une image en utilisant ECR ?
Vous publiez une image dans la galerie publique ECR en vous connectant à votre compte AWS et en l’envoyant vers un référentiel public que vous créez. Un alias unique par compte vous est attribué à utiliser dans les URL d'image qui identifie toutes les images publiques que vous publiez.
 
Q : puis-je utiliser un alias personnalisé pour mes images publiques ?
Oui. Vous pouvez demander un alias personnalisé tel que le nom de votre organisation ou de votre projet, sauf s'il s'agit d'un alias réservé. Les noms qui identifient les services AWS sont réservés. Les noms qui identifient les vendeurs AWS Marketplace peuvent également être réservés. Nous vérifierons et approuverons votre demande d'alias personnalisé dans quelques jours, sauf si votre demande d'alias enfreint la politique d'utilisation acceptable AWS ou d'autres politiques AWS.
 
Q : comment extraire une image publique d’ECR ?
Vous extrayez en utilisant la commande familière « docker pull » avec l'URL de l'image. Vous pouvez facilement rechercher cette URL en trouvant des images à l'aide d'un alias d'éditeur, d'un nom d'image ou d'une description d'image à l'aide de la galerie publique ECR. Les URL d'image sont au format public.ecr.aws/<alias>/<image>:<tag>, par exemple public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
 
Q : est-il possible de dupliquer des images d'une région à l'autre avec Amazon ECR ?
Oui. Amazon ECR est conçu pour vous offrir une certaine flexibilité concernant l'emplacement où vous stockez vos images et la manière dont vous les déployez. Vous pouvez créer des pipelines de déploiement qui créent des images, les pousser vers Amazon ECR dans une région, et Amazon ECR peut les répliquer automatiquement vers d'autres régions et comptes pour le déploiement sur des clusters multi régionaux.

Q : puis-je utiliser Amazon ECR dans des environnements locaux et sur site ?
Oui. Vous pouvez accéder à Amazon ECR n'importe où, que ce soit dans des bureaux ou sur site, pourvu que Docker fonctionne dans cet environnement.

Q : la galerie publique Amazon ECR fournit-elle des images publiées par AWS ?
Oui. Des services tels qu'Amazon Elastic Kubernetes Service (EKS), Amazon Sagemaker et AWS Lambda publient leurs images et artefacts de conteneurs à usage public officiels sur Amazon ECR.  

Q : Amazon ECR fonctionne-t-il avec Amazon ECS ?
Oui. Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneur pour les applications exécutées avec Amazon ECS. Il vous suffit d'indiquer le référentiel Amazon ECR dans votre définition de tâches pour qu'Amazon ECS récupère les images appropriées pour vos applications.

Q : Amazon ECR fonctionne-t-il avec AWS Elastic Beanstalk ?
Oui. AWS Elastic Beanstalk prend en charge Amazon ECR pour les environnements Docker à conteneurs uniques et multiples, ce qui vous permet de déployer très facilement des images de conteneurs stockées dans Amazon ECR avec AWS Elastic Beanstalk. Il vous suffit d'indiquer le référentiel Amazon ECR dans votre configuration Dockerrun.aws.json et d'attacher la politique AmazonEC2ContainerRegistryReadOnly à votre rôle d'instance de conteneur.

Q : Quelle version de Docker Engine Amazon ECR prend-il en charge ?
Pour le moment, Amazon ECR prend en charge Docker Engine 1.7.0 et les versions supérieures.

Q : Quelle version de l'API Docker Registry Amazon ECR prend-il en charge ?
Amazon ECR prend en charge les spécifications de l'API Docker Registry V2.

Q : Amazon ECR crée-t-il automatiquement des images depuis un Dockerfile ?
Non. Amazon ECR s'intègre cependant à plusieurs solutions de diffusion et d'intégration populaires pour parvenir au même résultat. Pour plus d'informations, consultez la Page Partenaires Amazon ECR.

Q : Amazon ECR prend-il en charge l'accès fédéré ?
Oui. Amazon ECR est intégré à AWS Identity and Access Management, qui prend en charge la fédération d'identité pour les accès délégués à AWS Management Console ou aux API AWS.

Q : Quelle version de la spécification Docker Image Manifest Amazon ECR prend-il en charge ?
Amazon ECR prend en charge le format Schema 2 de Docker Image Manifest V2. Afin de maintenir une rétrocompatibilité avec les images au format Schema 1, Amazon ECR continuera d'accepter des images chargées au format Schema 1. En outre, Amazon ECR peut convertir une image Schema 2 en une image Schema 1 lorsque celle-ci est récupérée avec une ancienne version de Docker Engine (1.9 et versions antérieures).

Q : Amazon ECR prend-il en charge le format Open Container Initiative (OCI) ?
Oui. Amazon ECR est compatible avec la spécification d'image Open Container Initiative (OCI) qui vous permet de pousser et d'extraire des images et des artefacts OCI. Amazon ECR peut également convertir des images aux formats Docker Image Manifest V2, Schema 2 et OCI lorsqu'elles sont récupérées.

Sécurité

Q : Comment Amazon ECR aide-t-il à assurer la sécurité des images de conteneurs ?
Amazon ECR chiffre automatiquement les images au repos à l'aide du chiffrement côté serveur S3 ou du chiffrement AWS KMS et transfère vos images de conteneur via HTTPS. Vous pouvez configurer des politiques assurant la gestion des autorisations et le contrôle des accès à vos images via des rôles et utilisateurs AWS Identity and Access Management (IAM), sans avoir à gérer les informations d'identification directement sur vos instances EC2.

Q : Comment puis-je utiliser AWS Identity and Access Management pour gérer les autorisations ?
Vous avez la possibilité d'utiliser les politiques IAM basées sur les ressources pour contrôler et surveiller les personnes ou entités (par exemple, des instances EC2) qui peuvent accéder à vos images de conteneur. Vous pouvez également contrôler et surveiller quand, comment et où elles ont accès à ces dernières. Pour commencer, utilisez la console de gestion afin de créer des politiques basées sur les ressources pour vos référentiels. Vous pouvez aussi utiliser des exemples de politiques et les associer à vos référentiels par l'intermédiaire de l'interface de ligne de commande d'Amazon ECR.

Q : Puis-je partager mes images entre les comptes AWS ?
Oui. Voici un exemple de la manière dont vous pouvez créer et établir une politique pour le partage d'images entre plusieurs comptes.

Q : Amazon ECR analyse-t-il les images de conteneurs à la recherche de vulnérabilités ?
Oui. Amazon ECR peut analyser automatiquement les images de vos conteneurs pour un large éventail de vulnérabilités du système d'exploitation lorsque vous activez l'analyse à la demande des référentiels privés. Vous pouvez également numériser des images à l'aide d'une commande API. ECR vous informe dès qu'une analyse est terminée et que les résultats sont disponibles dans la console et sur l'API.

En savoir plus sur la tarification d’Amazon ECR

Visiter la page de tarification
Prêt à concevoir ?
Démarrez avec Amazon ECR
D'autres questions ?
Nous contacter