Общие вопросы
Частный репозиторий не предлагает возможности поиска контента и, прежде чем разрешить извлечение образов, требует аутентификации на основе Amazon IAM с использованием аккаунта AWS. Общедоступный репозиторий имеет описательный контент и позволяет кому угодно извлекать образы без необходимости иметь аккаунт AWS или учетные данные IAM. Образы общедоступного репозитория также доступны в общедоступной галерее Amazon ECR.
Использование Amazon ECR
Вопрос: Как начать работу с Amazon ECR?
Для скорейшего начала работы с сервисом Amazon ECR воспользуйтесь интерфейсом командной строки Docker, чтобы отправить и извлечь свой первый образ. Дополнительные сведения см. на странице Начало работы.
Вопрос: Можно ли получить доступ к Amazon ECR в облаке VPC?
Да. Теперь есть возможность настроить адреса AWS PrivateLink, чтобы инстансы могли извлекать образы из частных репозиториев, не передавая их через публичный Интернет.
Вопрос. Как лучше всего управлять репозиториями и образами?
Сервис Amazon ECR предоставляет интерфейс командной строки и API для создания, мониторинга и удаления репозиториев, а также настройки разрешений на доступ к ним. Эти же действия можно выполнять в консоли Amazon ECR, доступ к которой можно получить в разделе «Repositories» консоли Amazon ECR. Кроме того, Amazon ECR интегрирован с интерфейсом командной строки Docker, что позволяет отправлять и извлекать образы, а также назначать им теги с машины, используемой для разработки.
Вопрос. Можно ли использовать Amazon ECR в локальной среде?
Да. Вы можете получить доступ к Amazon ECR из любого места, где работает Docker, в том числе с настольных компьютеров или из локальных сред.
Вопрос. Есть ли в общедоступной галерее Amazon ECR образы, публикуемые AWS?
Да. Такие сервисы, как Amazon EKS, Amazon SageMaker и AWS Lambda, публикуют свои официальные образы контейнеров и артефакты для открытого пользования в Amazon ECR.
Вопрос. Работает ли Amazon ECR с Amazon ECS?
Да. Amazon ECR интегрирован с Amazon ECS, что позволяет легко хранить и запускать образы контейнеров для работающих в Amazon ECS приложений, а также управлять ими. Вам необходимо лишь указать репозиторий Amazon ECR в определении задания, а Amazon ECS будет извлекать подходящие образы для ваших приложений.
Вопрос: Работает ли Amazon ECR с AWS Elastic Beanstalk?
Да. В настоящее время AWS Elastic Beanstalk поддерживает Amazon ECR как в одноконтейнерных, так и во многоконтейнерных средах Docker, позволяя легко развертывать в AWS Elastic Beanstalk образы контейнеров, хранящиеся в Amazon ECR. Вам нужно только указать репозиторий Amazon ECR в конфигурации Dockerrun.aws.json и прикрепить политику AmazonEC2ContainerRegistryReadOnly к роли инстанса контейнера.
Вопрос: Какую версию движка Docker поддерживает Amazon ECR?
Amazon ECR в настоящее время поддерживает Docker версии 1.7.0 и выше.
Вопрос: Какую версию API Docker Registry поддерживает Amazon ECR?
Amazon ECR поддерживает спецификацию API Docker Registry V2.
Вопрос: Будет ли Amazon ECR автоматически создавать образы из Dockerfile?
Нет. Однако Amazon ECR интегрируется с рядом популярных решений интеграции и непрерывной доставки контента для обеспечения этой возможности. Дополнительную информацию см. на странице партнеров по Amazon ECR.
Вопрос: Поддерживает ли Amazon ECR федеративный доступ?
Да. Amazon ECR интегрирован с AWS Identity and Access Management (IAM), который поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS.
Вопрос: Какую версию спецификации манифеста образов Docker поддерживает Amazon ECR?
Amazon ECR поддерживает формат Docker Image Manifest V2 Schema 2. В целях обеспечения обратной совместимости с образами Schema 1 Amazon ECR продолжает принимать образы, загруженные в формате Schema 1. Кроме того, Amazon ECR может преобразовывать образы из формата Schema 2 в Schema 1 при извлечении образов с помощью более старой версии Docker Engine (1.9 и ниже).
Вопрос: Поддерживает ли Amazon ECR формат Open Container Initiative (OCI)?
Да. Amazon ECR совместим со спецификацией образов Open Container Initiative (OCI), что позволяет отправлять и извлекать образы OCI и артефакты. Amazon ECR также может при отправке преобразовывать образы между форматами Docker Image Manifest V2, Schema 2 и OCI.
Безопасность
Вопрос. Как Amazon ECR помогает обеспечить безопасность образов контейнеров?
Amazon ECR автоматически шифрует образы при хранении, используя шифрование на стороне сервера Amazon S3 или шифрование AWS KMS, а также передает образы контейнеров по HTTPS. Вместо того чтобы управлять данными доступа непосредственно на своих инстансах EC2, можно настроить политики для управления разрешениями и контроля доступа к вашим образам, используя пользователей и роли AWS Identity and Access Management (IAM).
Вопрос: Как использовать AWS Identity and Access Management (IAM) для настройки разрешений?
Политики IAM на основе ресурсов можно использовать для управления разрешениями и мониторинга того, кто и что (например, инстансы EC2) может получать доступ к вашим образам контейнеров, а также как, когда и где они могут получать к ним доступ. Чтобы начать работу, воспользуйтесь Консолью управления AWS для создания политик на уровне ресурсов для своих репозиториев. Кроме того, вы можете использовать образцы политик и прикрепить их к своим репозиториям с помощью интерфейса командной строки Amazon ECR.
Вопрос: Можно ли предоставить общий доступ к образам для других аккаунтов AWS?
Да. Здесь приведен пример создания и настройки политики для обеспечения доступа к образу из разных аккаунтов.
Вопрос. Проверяет ли Amazon ECR образы контейнеров на наличие уязвимостей?
Можно включить Amazon ECR для автоматической проверки образов контейнеров на наличие разных уязвимостей операционной системы. Можно также проверять образы с помощью команды API, при этом Amazon ECR уведомит вас посредством API и консоли о завершении проверки. Чтобы улучшить проверку образа, можно включить Amazon Inspector.
Подробнее о ценах на Amazon ECR