Amazon ECR が AWS GovCloud (米国) リージョンでのデュアルレイヤーサーバー側暗号化のサポートを発表
Amazon Elastic Container Registry (ECR) は、AWS GovCloud (米国) リージョンでのデュアルレイヤーサーバー側の暗号化をサポートするようになりました。この機能により、Amazon ECR に保存されているイメージに 2 つの独立したサーバー側暗号化レイヤーを適用できます。AWS Key Management Service (DSSE-KMS) に保存されているキーによるサーバー側の二重層暗号化により、コンテナイメージに複数層の暗号化を適用するという、より厳しいコンプライアンス要件や規制要件を満たすことができます。
ECR は、Amazon S3 で管理された暗号化キーまたは Amazon キー管理サービス (KMS) に保存されているキーのいずれかを使用して、ECR イメージのサーバー側暗号化をサポートしています。これにより、保管中のデータが保護されるため、多くの場合、セキュリティ要件を満たすことができます。ただし、厳格なセキュリティ基準を必要とする高度に規制された環境で運用している場合は、イメージに第 2 層の暗号化が必要になる場合があります。DSSE-KMS では、2 層の暗号化を簡単に適用し、両方の層で使用される鍵を制御できるようになりました。この機能を有効にすると、ECR は Amazon Key Management Service (KMS) が管理する暗号化キーを使用して、プッシュ時にイメージを 2 回自動的に暗号化し、プルすると 2 回復号化します。AWS KMS は使いやすいキー管理サービスで、キーごとに権限を設定し、キーローテーションスケジュールを指定することで、キーを簡単に作成、管理、制御できます。
ECR を搭載した DSSE-KMS は追加料金を支払うことで AWS GovCloud (米国) リージョンでご利用になれます。料金情報については、Amazon ECR の料金ページでご確認ください。Amazon ECR で利用できるすべての暗号化オプションの詳細とこの機能の開始方法については、ユーザーガイドをご覧ください。