Geral
Um repositório privado não oferece recursos de pesquisa de conteúdo e requer autenticação baseada no Amazon IAM usando credenciais de conta da AWS antes de permitir que as imagens sejam extraídas. Um repositório público tem conteúdo descritivo e permite que qualquer pessoa em qualquer lugar efetue pull de imagens sem precisar de uma conta da AWS ou usar credenciais do IAM. Imagens de repositório público também estão disponíveis na galeria pública do Amazon ECR.
Como usar o Amazon ECR
P: Como faço para começar a usar o Amazon ECR?
A melhor maneira de começar a usar o Amazon ECR é usando a CLI do Docker para efetuar push e pull de sua primeira imagem. Visite nossa página Conceitos básicos para obter mais informações.
P: Posso acessar o Amazon ECR dentro de um VPC?
Sim. Você pode configurar endpoints do AWS PrivateLink para permitir que suas instâncias efetuem pull de imagens de seus repositórios privados sem percorrer a Internet pública.
P: Qual é a melhor maneira de gerenciar meus repositórios e imagens?
O Amazon ECR fornece uma interface de linha de comando e APIs para criar, monitorar e excluir repositórios e definir permissões de repositório. Você pode executar as mesmas ações no console do Amazon ECR, que pode ser acessado por meio da seção “Repositories” (Repositórios) do console do Amazon ECR. O Amazon ECR também se integra com a CLI do Docker, permitindo que você efetue push e pull e etiquete as imagens na sua máquina de desenvolvimento.
P: Posso usar o Amazon ECR em ambientes on-premises e nas instalações?
Sim. Você pode acessar o Amazon ECR em qualquer lugar que o Docker seja executado, como desktops e ambientes locais.
P: A galeria pública do Amazon ECR fornece imagens publicadas pela AWS?
Sim. Serviços como o Amazon EKS, Amazon SageMaker e AWS Lambda publicam suas imagens oficiais de contêiner de uso público e artefatos no Amazon ECR.
P: O Amazon ECR funciona com o Amazon ECS?
Sim. O Amazon ECR é integrado ao Amazon ECS, o que permite que você armazene, execute e gerencie facilmente imagens de contêiner para aplicações em execução no Amazon ECS. Basta especificar o repositório do Amazon ECR na sua definição de tarefas que o Amazon ECS recuperará as imagens apropriadas para as suas aplicações.
P: O Amazon ECR funciona com o AWS Elastic Beanstalk?
Sim. O AWS Elastic Beanstalk é compatível com o Amazon ECR para ambientes de docker de contêiner único e vários contêineres, o que permite implantar facilmente imagens de contêiner armazenadas no Amazon ECR com o AWS Elastic Beanstalk. Tudo o que você precisa fazer é especificar o repositório do Amazon ECR na sua configuração do Dockerrun.aws.json e conectar a política AmazonEC2ContainerRegistryReadOnly à sua função de instância de contêiner.
P: Qual versão do Docker Engine o Amazon ECR suporta?
O Amazon ECR suporta, no momento, o Docker Engine 1.7.0 e posteriores.
P: Qual versão da API do Docker Registry o Amazon ECR suporta?
O Amazon ECR suporta a especificação de API do Docker Registry V2.
P: O Amazon ECR cria automaticamente as imagens de um Dockerfile?
Não, no entanto, o Amazon ECR integra-se com várias soluções populares de CI/CD para fornecer esse recurso. Consulte a página Parceiros do Amazon ECR para obter mais informações.
P: O Amazon ECR suporta acesso federado?
Sim. O Amazon ECR está integrado ao AWS Identity and Access Management (IAM), que suporta a federação de identidades para acesso delegado para o Console de Gerenciamento da AWS ou as APIs da AWS.
P: Qual versão da especificação Docker Image Manifest é compatível com o Amazon ECR?
O Amazon ECR é compatível com o formato Docker Image Manifest V2, Schema 2. Para manter a retrocompatibilidade com imagens do Schema 1, o Amazon ECR continuará a aceitar imagens carregadas no formato Schema 1. Além disso, o Amazon ECR pode reconverter uma imagem do Schema 2 para o Schema 1 ao extraí-la usando uma versão mais antiga do Docker Engine (versão 1.9 e outras inferiores).
P: O Amazon ECR é compatível com o formato Open Container Initiative (OCI)?
Sim. O Amazon ECR é compatível com a especificação de imagem Open Container Initiative (OCI), o que permite enviar e extrair imagens e artefatos do tipo OCI. O Amazon ECR também pode fazer a conversão entre imagens do Docker Image Manifest V2, Schema 2 e imagens do tipo OCI durante a extração.
Segurança
P: Como o Amazon ECR ajuda a garantir que as imagens do contêiner estejam seguras?
O Amazon ECR criptografa automaticamente imagens em repouso usando criptografia no lado do servidor do Amazon S3 ou criptografia do AWS KMS e transfere suas imagens de contêiner por HTTPS. Você pode configurar políticas para gerenciar permissões e controlar o acesso às suas imagens utilizando usuários e funções do AWS Identity and Access Management (IAM) sem precisar gerenciar credenciais diretamente nas suas instâncias do EC2.
P: Como uso o AWS Identity and Access Management (IAM) para as permissões?
Você pode usar as políticas de recursos do IAM para controlar e monitorar quem e o que (por exemplo, instâncias do EC2) pode acessar suas imagens no contêiner, e também como, quando e onde eles podem conseguir acessá-las. Para começar a usar, use o Console de Gerenciamento da AWS para criar políticas baseadas em recursos para seus repositórios. Alternativamente, você pode usar políticas de exemplo e anexá-las aos seus repositórios por meio da CLI do Amazon ECR.
P: Posso compartilhar minhas imagens em contas da AWS?
Sim. Aqui está um exemplo de como criar e configurar uma política para compartilhamento de imagens entre contas.
P: O Amazon ECR verifica se há vulnerabilidades nas imagens de contêiner?
Você pode habilitar o Amazon ECR pode verificar automaticamente a presença de uma ampla gama de vulnerabilidades do sistema operacional em suas imagens de contêiner. Também é possível verificar imagens usando um comando de API e o Amazon ECR notificará que uma verificação foi concluída tanto na API como no console. Para realizar verificações aprimoradas de imagens, ative o Amazon Inspector.
Saiba mais sobre os preços do Amazon ECR