Questions d'ordre général

Q : En quoi consiste Amazon Elastic Container Registry (Amazon ECR) ?
Amazon ECR est un registre de conteneurs entièrement géré qui permet aux développeurs de partager et de déployer facilement des images et artefacts de conteneurs. Amazon ECR est intégré à Amazon Elastic Container Service (Amazon ECS)Amazon Elastic Kubernetes Service (Amazon EKS) et AWS Lambda, ce qui simplifie votre flux de production. Amazon ECR supprime la nécessité de gérer vos propres référentiels de conteneurs ou de vous préoccuper de la mise à l'échelle de l'infrastructure sous-jacente. Amazon ECR héberge vos images dans une architecture hautement disponible et évolutive, ce qui vous permet de déployer avec une grande fiabilité des conteneurs pour vos applications. L'intégration à AWS Identity and Access Management (IAM) fournit un contrôle au niveau des ressources de chaque référentiel, ce qui vous permet de partager des images au sein de votre organisation ou avec n'importe qui dans le monde.
 
Q : Pourquoi devrais-je utiliser Amazon ECR ?
Amazon ECR supprime la nécessité de gérer ou de mettre à l'échelle l'infrastructure requise pour faire fonctionner votre registre de conteneur. Amazon ECR utilise Amazon S3 pour le stockage, de sorte à rendre les images de vos conteneurs hautement disponibles et accessibles. Vous pouvez ainsi déployer avec une grande fiabilité des conteneurs pour vos applications. Amazon ECR transfère les images de vos conteneurs via HTTPS et les chiffre automatiquement au repos. Vous pouvez configurer des politiques afin de gérer les autorisations pour chaque référentiel et restreindre l'accès aux utilisateurs et rôles IAM ou aux autres comptes AWS. Amazon ECR s'intègre à Amazon ECS, Amazon EKS, AWS Fargate, AWS Lambda et la CLI Docker, ce qui vous permet de simplifier vos flux de travail de développement et de production. Vous pouvez facilement transférer vos images de conteneur vers Amazon ECR à l'aide de l'interface de ligne de commande Docker à partir de votre machine de développement, et les orchestrateurs de conteneurs Amazon ou le calcul peuvent les extraire directement pour les déploiements de production.
 
Q : Quelle est la tarification d'Amazon ECR ?
Avec Amazon ECR, aucuns frais initiaux ni engagement. Vous ne payez que la quantité de données que vous stockez dans vos référentiels publics ou privés, et les données transférées sur Internet. Pour plus de détails, consultez la page Tarification.
 
Q : Amazon ECR est-il un service mondial ?
Amazon ECR est un service régional, conçu pour vous apporter des solutions de déploiement flexibles de vos images. Pour des performances optimales, vous pouvez transférer ou extraire des images dans la même région AWS que celle de votre cluster Docker. Vous pouvez également accéder à Amazon ECR partout où Docker fonctionne, que ce soit sur des bureaux ou sur site. L'extraction d'images entre deux régions ou à partir d'Internet entraînera des coûts de transfert de données et des temps de latence supplémentaires.
 
Q : Amazon ECR peut-il héberger des images de conteneurs publics ?
Oui. Amazon ECR dispose d'un registre de conteneur et d'un site Web hautement disponibles qui vous permettent de partager ou de rechercher facilement des logiciels de conteneurs publics. Toute personne avec ou sans compte AWS peut utiliser la galerie publique Amazon ECR pour rechercher et télécharger des images de conteneurs couramment utilisées, telles que des systèmes d'exploitation, des images publiées par AWS et des fichiers tels que des graphiques Helm pour Kubernetes.
 
Q : Quelle est la différence entre les référentiels Amazon ECR publics et privés ?
Un référentiel privé n'offre pas de fonctions de recherche de contenu et nécessite une authentification basée sur Amazon IAM à l'aide des informations d'identification de compte AWS avant d'autoriser l'extraction d'images. Un référentiel public possède un contenu descriptif. Il permet à n'importe qui d'extraire des images n'importe où sans disposer d'un compte AWS ni utiliser des informations d'identification IAM. Les images du référentiel public sont également disponibles dans la galerie publique Amazon ECR.

Q : Quelles capacités de conformité puis-je activer sur Amazon ECR ?
Vous pouvez utiliser AWS CloudTrail sur Amazon ECR pour fournir un historique de toutes les actions des API. Vous pouvez par exemple savoir qui a extrait une image et quand les balises ont été déplacées entre des images. Les administrateurs peuvent également savoir quelles instances EC2 ont été utilisées pour extraire quelles images.

Utilisation d'Amazon ECR

Q : Comment commencer à utiliser Amazon ECR ?
Pour bien commencer avec Amazon ECR,utilisez la CLI Docker pour transférer et extraire votre première image. Pour plus d'informations, consultez la page Mise en route.

Q : Puis-je accéder à Amazon ECR à l'intérieur d'un VPC ?
Oui. En configurant des points de terminaison AWS PrivateLink, vous permettez à vos instances d'extraire des images de vos référentiels privés sans passer par l'Internet public.

Q : Comment bien gérer mes référentiels et mes images ?
Amazon ECR propose une interface de ligne de commande et des API pour créer, contrôler ou supprimer des référentiels, et définir des autorisations d'accès correspondantes. Vous pouvez effectuer les mêmes actions dans la console de gestion Amazon ECR, accessible depuis la section « Référentiels » de la console Amazon ECR. Amazon ECR s'intègre également à la CLI Docker. Grâce à cela, vous pouvez transférer ou extraire des images, et les étiqueter sur votre machine de développement.

Q : Comment partager une image publiquement avec Amazon ECR ?
Pour publier une image dans la galerie publique Amazon ECR, connectez-vous à votre compte AWS, et transférez-la vers un référentiel public que vous créez. Un alias unique vous est attribué pour chaque compte. Utilisé dans les URL d'image, il identifie toutes les images publiques que vous publiez.
 
Q : puis-je utiliser un alias personnalisé pour mes images publiques ?
Oui. Vous pouvez demander un alias personnalisé tel que le nom de votre organisation ou de votre projet, sauf s'il s'agit d'un alias réservé. Les noms qui identifient les services AWS sont réservés. Les noms qui identifient les vendeurs AWS Marketplace peuvent également être réservés. Nous examinerons et approuverons votre demande d'alias personnalisé dans quelques jours, sauf si elle enfreint la politique d'utilisation acceptable AWS ou d'autres politiques AWS.
 
Q : Comment extraire une image publique à partir d'Amazon ECR ?
Pour extraire une image, utilisez la commande « docker pull » avec l'URL de l'image. Vous pouvez facilement rechercher cette URL en trouvant des images à l'aide d'un alias d'éditeur, d'un nom d'image ou d'une description d'image à l'aide de la galerie publique Amazon ECR. Les URL d'image sont au format public.ecr.aws/<alias>/<image>:<tag>, par exemple public.ecr.aws/eks/aws-alb-ingress-controller:v1.1.5
 
Q : La duplication d'images d'une région AWS à l'autre est-elle possible avec Amazon ECR ?
Oui. Amazon ECR est conçu pour vous offrir une certaine flexibilité concernant l'emplacement où vous stockez vos images et la manière dont vous les déployez. Vous pouvez créer des pipelines de déploiement qui créent des images, les transférer vers Amazon ECR dans une région, et Amazon ECR peut les répliquer automatiquement vers d'autres régions et comptes pour le déploiement sur des clusters multi régionaux.

Q : Puis-je utiliser Amazon ECR dans des environnements locaux et sur site ?
Oui. Vous pouvez accéder à Amazon ECR n'importe où, que ce soit dans des bureaux ou sur site, pourvu que Docker fonctionne dans cet environnement.

Q : la galerie publique Amazon ECR fournit-elle des images publiées par AWS ?
Oui. Des services tels qu'Amazon EKS, Amazon SageMaker et AWS Lambda publient leurs images et artefacts de conteneurs à usage public officiels sur Amazon ECR.  

Q : Amazon ECR fonctionne-t-il avec Amazon ECS ?
Oui. Amazon ECR est intégré à Amazon ECS, ce qui vous permet de stocker, d'exécuter et de gérer très facilement les images de conteneurs pour les applications exécutées avec Amazon ECS. Précisez simplement le référentiel Amazon ECR dans votre définition de tâches, et Amazon ECS récupèrera les images appropriées pour vos applications.

Q : Amazon ECR fonctionne-t-il avec AWS Elastic Beanstalk ?
Oui. AWS Elastic Beanstalk prend en charge Amazon ECR pour les environnements Docker à conteneurs uniques et multiples, ce qui vous permet de déployer très facilement des images de conteneurs stockées dans Amazon ECR avec AWS Elastic Beanstalk. Il vous suffit d'indiquer le référentiel Amazon ECR dans votre configuration Dockerrun.aws.json et d'attacher la politique AmazonEC2ContainerRegistryReadOnly à votre rôle d'instance de conteneur.

Q : Quelle version de Docker Engine Amazon ECR prend-il en charge ?
Pour le moment, Amazon ECR prend en charge Docker Engine 1.7.0 et les versions supérieures.

Q : Quelle version de l'API Docker Registry Amazon ECR prend-il en charge ?
Amazon ECR prend en charge les spécifications de l'API Docker Registry V2.

Q : Amazon ECR crée-t-il automatiquement des images depuis un Dockerfile ?
Non, mais Amazon ECR s'intègre à plusieurs solutions CI/CD bien connues pour parvenir au même résultat. Pour plus d'informations, consultez la page Partenaires Amazon ECR.

Q : Amazon ECR prend-il en charge l'accès fédéré ?
Oui. Amazon ECR est intégré à AWS Identity and Access Management (IAM), qui prend en charge la fédération d'identité pour l'accès délégué à la console de gestion AWS ou aux API AWS.

Q : Quelle version de la spécification du manifeste d'image Docker est prise en charge par Amazon ECR ?
Amazon ECR prend en charge le format Schema 2 de Docker Image Manifest V2. Afin de maintenir une rétrocompatibilité avec les images au format Schema 1, Amazon ECR continuera d'accepter des images chargées au format Schema 1. En outre, Amazon ECR peut convertir une image Schema 2 en une image Schema 1 lorsque celle-ci est récupérée avec une ancienne version de Docker Engine (1.9 et versions antérieures).

Q : Amazon ECR prend-il en charge le format Open Container Initiative (OCI) ?
Oui. Amazon ECR est compatible avec la spécification d'image Open Container Initiative (OCI) qui vous permet de pousser et d'extraire des images et des artefacts OCI. Amazon ECR peut également convertir des images aux formats Docker Image Manifest V2, Schema 2 et OCI lorsqu'elles sont récupérées.

Sécurité

Q : Comment Amazon ECR garantit-il la sécurité des images de conteneurs ?
Amazon ECR chiffre automatiquement les images au repos à l'aide du chiffrement côté serveur Amazon S3 ou du chiffrement AWS KMS, et transfère vos images de conteneurs via HTTPS. Vous pouvez configurer des politiques pour gérer les autorisations et le contrôle des accès à vos images via des rôles et utilisateurs AWS Identity and Access Management (IAM), sans gérer les informations d'identification directement sur vos instances EC2.

Q : Comment gérer les autorisations avec AWS Identity and Access Management (IAM) ?
Vous pouvez utiliser les politiques IAM basées sur les ressources pour contrôler les personnes ou entités (par exemple, des instances EC2) qui peuvent accéder à vos images de conteneurs, et quand, comment et où elles y accèdent. Pour commencer, créez des politiques basées sur les ressources pour vos référentiels avec la console de gestion. Vous pouvez aussi utiliser des exemples de politiques et les associer à vos référentiels par l'intermédiaire de l'interface de ligne de commande d'Amazon ECR.

Q : Puis-je partager mes images entre les comptes AWS ?
Oui. Par exemple, voici comment créer et établir une politique pour le partage d'images entre plusieurs comptes.

Q : Amazon ECR analyse-t-il les images de conteneurs à la recherche de vulnérabilités ?
Oui. Amazon ECR peut analyser automatiquement les images de vos conteneurs pour un large éventail de vulnérabilités du système d'exploitation lorsque vous activez l'analyse à la demande des référentiels privés. Vous pouvez également numériser des images à l'aide d'une commande API. Amazon ECR vous informe lorsqu'une analyse est terminée. Les résultats sont alors disponibles dans la console et sur l'API.

En savoir plus sur la tarification d'Amazon ECR

Visiter la page de tarification
Prêt à concevoir ?
Démarrez avec Amazon ECR
D'autres questions ?
Nous contacter