일반
프라이빗 리포지토리는 콘텐츠 검색 기능을 제공하지 않으며, AWS 계정 자격 증명을 사용한 Amazon IAM 기반 인증을 거쳐야 이미지를 가져올 수 있습니다. 퍼블릭 리포지토리에는 설명 콘텐츠가 있으며, 누구나 어디서든 AWS 계정 또는 IAM 자격 증명을 사용하지 않고도 이미지를 가져올 수 있습니다. 퍼블릭 리포지터리 이미지는 Amazon ECR 퍼블릭 갤러리에서도 사용할 수 있습니다.
Amazon ECR 사용
Q: Amazon ECR은 어떻게 시작합니까?
Amazon ECR을 시작하는 가장 좋은 방법은 Docker CLI를 사용해 첫 번째 이미지를 푸시하고 가져오는 것입니다. 자세한 내용은 시작하기 페이지를 참조하세요.
Q: VPC 내에서 Amazon ECR에 액세스할 수 있습니까?
예. AWS PrivateLink 엔드포인트를 설정하여 인스턴스가 퍼블릭 인터넷을 거치지 않고 프라이빗 리포지터리에서 이미지를 가져올 수 있습니다.
Q: 리포지토리와 이미지를 관리하는 가장 좋은 방법은 무엇입니까?
Amazon ECR에서는 리포지토리를 생성, 모니터링 및 삭제하고 리포지토리 권한을 설정할 수 있도록 명령줄 인터페이스와 API를 제공합니다. Amazon ECR 콘솔에서도 동일한 작업을 수행할 수 있으며, Amazon ECR 콘솔의 ‘리포지토리’ 섹션을 통해 여기에 액세스할 수 있습니다. 또한, Amazon ECR은 Docker CLI와 통합되므로 개발 머신에서 이미지를 푸시하고, 가져오며, 이미지에 태그를 지정할 수 있습니다.
Q: 로컬 및 온프레미스 환경에서 Amazon ECR을 사용할 수 있습니까?
예. 데스크톱 및 온프레미스 환경과 같이 Docker가 실행되는 곳 어디에서나 Amazon ECR에 액세스할 수 있습니다.
Q: Amazon ECR 퍼블릭 갤러리는 AWS 게시 이미지를 제공합니까?
예. Amazon EKS, Amazon SageMaker 및 AWS Lambda와 같은 서비스는 공식 퍼블릭 컨테이너 이미지 및 아티팩트를 Amazon ECR에 게시합니다.
Q: Amazon ECR은 Amazon ECS와 연동됩니까?
예. Amazon ECR은 Amazon ECS와 통합되어 Amazon ECS에서 실행되는 애플리케이션에 대한 컨테이너 이미지를 손쉽게 저장, 실행 및 관리할 수 있습니다. 태스크 정의에 Amazon ECR 리포지토리를 지정하기만 하면 Amazon ECS에서 애플리케이션에 적합한 이미지를 검색합니다.
Q: Amazon ECR은 AWS Elastic Beanstalk와 연동됩니까?
예. 현재 AWS Elastic Beanstalk는 단일 및 다중 컨테이너 Docker 환경 모두를 위한 Amazon ECR을 지원하므로 AWS Elastic Beanstalk를 사용하여 Amazon ECR에 저장된 컨테이너 이미지를 손쉽게 배포할 수 있습니다. Dockerrun.aws.json 구성에서 Amazon ECR 리포지토리를 지정하고 AmazonEC2ContainerRegistryReadOnly 정책을 컨테이너 인스턴스 역할에 연결하기만 하면 됩니다.
Q: Amazon ECR에서 지원하는 Docker 엔진 버전은 어떻게 됩니까?
현재 Amazon ECR에서는 Docker 엔진 1.7.0 이상을 지원합니다.
Q: Amazon ECR에서 지원하는 Docker 레지스트리 API 버전은 어떻게 됩니까?
Amazon ECR에서는 Docker 레지스트리 V2 API 사양을 지원합니다.
Q: Amazon ECR는 Dockerfile에서 이미지를 자동으로 구축합니까?
아니요. 하지만 Amazon ECR은 여러 인기 있는 CI/CD 솔루션과 통합되어 이러한 기능을 제공할 수 있습니다. 자세한 내용은 Amazon ECR 파트너 페이지를 참조하세요.
Q: Amazon ECR은 연동 액세스를 지원합니까?
예. Amazon ECR은 AWS Identity and Access Management(IAM)와 통합되어 AWS 관리 콘솔 또는 AWS API에 대한 위임된 액세스를 위한 자격 증명 연동을 지원합니다.
Q: Amazon ECR에서 지원하는 도커 이미지 매니페스트 사양의 버전은 어떻게 됩니까?
Amazon ECR에서는 Docker 이미지 매니페스트 V2, 스키마 2 형식을 지원합니다. 스키마 1 이미지와의 역방향 호환성을 유지하기 위해 Amazon ECR에서는 스키마 1 형식으로 업로드되는 이미지도 계속 허용할 것입니다. 또한, Amazon ECR에서는 이전 버전의 Docker 엔진(1.9 이하)을 가져올 때 스키마 2에서 스키마 1 이미지로 버전을 낮춰서 변환합니다.
Q: Amazon ECR에서는 Open Container Initiative(OCI) 형식을 지원합니까?
예. Amazon ECR은 OCI(Open Container Initiative) 이미지 사양과 호환되므로 OCI 이미지 및 아티팩트를 푸시하고 가져올 수 있습니다. 또한, 끌어온 Docker 이미지 매니페스트 V2, 스키마 2 이미지와 OCI 이미지를 서로 변환할 수 있습니다.
보안
Q: Amazon ECR에서는 컨테이너 이미지 보안을 어떻게 지원합니까?
Amazon ECR에서는 Amazon S3 서버 측 암호화 또는 AWS KMS 암호화를 사용하여 저장 이미지를 자동으로 암호화하고 HTTPS를 통해 컨테이너 이미지를 전송합니다. EC2 인스턴스에서 직접 자격 증명을 관리할 필요 없이 AWS Identity and Access Management(IAM) 사용자 및 역할을 사용하여 이미지에 대한 권한을 관리하고 액세스를 제어하는 정책을 구성할 수 있습니다.
Q: 권한과 관련하여 AWS Identity and Access Management(IAM)를 어떻게 사용할 수 있습니까?
IAM 리소스 기반 정책을 사용하여 컨테이너 이미지에 액세스할 수 있는 사람 및 대상(예: EC2 인스턴스), 그리고 이들이 액세스할 수 있는 방법, 시점 및 위치도 제어하고 모니터링할 수 있습니다. 시작하려면 AWS 관리 콘솔에서 리포지토리에 대한 리소스 기반 정책을 생성합니다. 또는 샘플 정책을 사용하여 Amazon ECR CLI를 통해 리포지토리에 정책을 연결할 수도 있습니다.
Q: AWS 계정 전체에서 이미지를 공유할 수 있습니까?
예. 다음의 예는 교차 계정 이미지 공유에 대한 정책을 만들고 설정하는 방법을 보여줍니다.
Q: Amazon ECR은 컨테이너 이미지에서 취약성을 스캔합니까?
Amazon ECR을 활성화하여 광범위한 운영 체제 취약성에 대해 컨테이너 이미지를 자동으로 스캔할 수 있습니다. API 명령을 사용하여 이미지를 스캔할 수도 있으며 스캔이 완료되면 Amazon ECR이 API와 콘솔을 통해 알려줍니다. 향상된 이미지 스캔을 위해 Amazon Inspector를 켤 수 있습니다.
Amazon ECR 요금에 대해 자세히 알아보기