投稿日: Jul 29, 2020
Amazon Elastic Container Registry (ECR) が、AWS Key Management Service (KMS) が管理する AWS KMS キーの使用のサポートを開始し、ECR リポジトリに保存されているコンテナイメージを暗号化できるようになりました。AWS KMS は、データを暗号化および復号するキーの作成、管理、および制御を容易にする、使いやすいキー管理サービスです。保存時のコンテナイメージの KMS ベースの暗号化を選択することで、これらのキーを使用して暗号化した ECR イメージアクセスの監査、アクセス制御、モニタリングに関するより強力なセキュリティとコンプライアンス要件を満たすことができます。
ECR にプッシュするすべてのイメージは、業界標準の AES-256 暗号化アルゴリズムを使って、デフォルトで既に暗号化されています。こうした画像は保存データを保護し、多くの場合でセキュリティ要件を満たしています。しかし、異なる標準のセットを必要とする新しい顧客を取得したり、イメージに保存するコンテンツのタイプを変更したりすると、ニーズが変わる可能性があります。AWS KMS 暗号化を使用すると、AWS マネージド KMS キーまたは独自のマネージド KMS キーを選択して、保存中のイメージを暗号化できます。このため、ストレージと暗号化を別々に認証するための PCI-DSS コンプライアンス要件をサポートし、キーマテリアルを KMS ベースで制御して、イメージを暗号化および復号する際に監査できるようになります。この機能が有効になっている場合、ECR はプッシュ時にイメージを KMS キーで自動的に暗号化し、プル時に復号します。