投稿日: Jul 29, 2020

Amazon Elastic Container Registry (ECR) が、AWS Key Management Service (KMS) が管理するカスタマーマスターキー (CMK) の使用をサポートし、ECR リポジトリに保存されているコンテナイメージを暗号化できるようになりました。AWS KMS は、データを暗号化および復号化するキーの作成、管理、制御を容易にする、使いやすいキー管理サービスです。保存時のコンテナイメージの KMS ベースの暗号化を選択することで、これらのキーを使用して暗号化した ECR イメージアクセスの監査、アクセス制御、モニタリングに関するより強力なセキュリティとコンプライアンス要件を満たすことができます。

ECR にプッシュするすべてのイメージは、業界標準の AES-256 暗号化アルゴリズムを使って、デフォルトで既に暗号化されています。こうした画像は保存データを保護し、多くの場合でセキュリティ要件を満たしています。しかし、異なる標準のセットを必要とする新しい顧客を取得したり、イメージに保存するコンテンツのタイプを変更したりすると、ニーズが変わる可能性があります。AWS KMS 暗号化を使用すると、AWS マネージド CMK または独自のマネージド CMK を選択して、保存イメージを暗号化できます。このため、ストレージと暗号化を別々に認証するための PCI-DSS コンプライアンス要件をサポートし、キーマテリアルを KMS ベースで制御して、イメージを暗号化および復号化する際に監査できるようになります。この機能が有効になっている場合、ECR はプッシュ時にイメージを CMK で自動的に暗号化し、プル時に復号化します。

ECR での KMS 暗号化は、すべてのパブリック AWS リージョンと AWS GovCloud (米国) リージョンでご利用いただけます。こちらのブログで詳細を確認し、ドキュメントに従って、この新しい ECR 機能の使用を開始しましょう。