Amazon ECR 레지스트리에 요청 - Amazon ECR
IPv6 시작하기IP 주소 호환성 테스트듀얼 스택 엔드포인트를 사용하여 요청Docker CLI에서 Amazon ECR 엔드포인트 사용IAM 정책에서 IPv6 주소 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon ECR 레지스트리에 요청

IPv4 전용 엔드포인트 또는 듀얼 스택(IPv4 및 IPv6) 엔드포인트를 사용하여 Amazon ECR 프라이빗 레지스트리에서 OCI 이미지, Docker 이미지 및 OCI 호환 아티팩트를 푸시, 풀, 삭제, 확인 및 관리할 수 있습니다. IPv4 네트워크에서 요청하려면 듀얼 스택 또는 IPv4 엔드포인트를 사용할 수 있습니다. IPv6 네트워크에서 요청하는 경우 듀얼 스택 엔드포인트를 사용합니다. IPv4 엔드포인트 및 듀얼 스택 엔드포인트를 사용하여 Amazon ECR 퍼블릭 레지스트리에 요청하는 방법에 대한 자세한 내용은 Amazon ECR 퍼블릭 레지스트리에 요청을 참조하세요. IPv6을 통해 Amazon ECR에 액세스하는 데 대한 추가 요금은 없습니다. 요금에 대한 자세한 내용은 Amazon Elastic Container Registry 요금을 참조하세요.

Amazon ECR 엔드포인트는 IPv4 전용 엔드포인트 또는 듀얼 스택 엔드포인트 지원 이외의 속성으로 지정됩니다. 이러한 속성은 다음을 포함할 수 있습니다.

  • 리전 - 각 엔드포인트는 리전별로 다릅니다.

  • 유형 - 엔드포인트 선택은 AWS SDK 또는 OCI 호환 및 Docker 명령줄 인터페이스를 사용하는지 여부에 따라 달라집니다.

  • 보안 - 일부 리전에서는 Amazon ECR이 FIPS 호환 엔드포인트를 제공합니다. FIPS 호환 Amazon ECR 엔드포인트의 목록에 대한 Federal Information Processing Standard (FIPS) 140-3을 참조하세요.

AWS CLI 및SDK에서 Amazon ECR API 호출을 처리하는 IPv4, 듀얼 스택, Docker 및 OCI 클라이언트에서 지원하는 서비스 엔드포인트에 대한 자세한 내용은 서비스 엔드포인트를 참조하세요. AWS SDKs

IPv6을 통해 요청하기

IPv6을 통해 Amazon ECR 레지스트리에 요청하려면 듀얼 스택 엔드포인트를 사용해야 합니다. IPv6를 통해 Amazon ECR 레지스트리에 액세스하기 전에 다음 요구 사항을 확인하세요.

  • 클라이언트와 네트워크는 IPv6를 지원해야 합니다.

  • Amazon ECR은 IPv6를 통해 다음 요청 유형을 지원합니다.

    • OCI 및 Docker 클라이언트 요청:

      <registry-id>.dkr-ecr.<aws-region>.on.aws

    • AWS API 요청:

      ecr.<aws-region>.api.aws

  • IPv6 주소 범위를 포함하도록 소스 IP 주소 필터링을 사용하는 모든 AWS Identity and Access Management (IAM) 또는 레지스트리 정책을 업데이트해야 합니다. 자세한 내용은 IAM 정책에서 IPv6 주소 사용 단원을 참조하십시오.

  • IPv6를 사용하면 서버 액세스 로그에 IPv6 형식의 Remote IP 주소가 표시됩니다. 기존 도구, 스크립트 및 소프트웨어를 업데이트하여 IPv6 형식의 이러한 IP 주소를 구문 분석하세요.

    참고

    로그 파일에 IPv6 주소가 있는 것과 관련하여 문제가 있는 경우, AWS Support에 문의하세요.

IP 주소 호환성 테스트

Linux/Unix 또는 Mac OS X를 사용하는 경우, 다음 예제에 나와 있는 curl 명령을 사용하여 IPv6을 통해 듀얼 스택 엔드포인트에 액세스할 수 있는지 테스트할 수 있습니다.

curl --verbose https://ecr.us-west-2.api.aws

다음 예제와 유사한 정보를 가져옵니다. IPv6을 통해 연결된 경우, 연결된 IP 주소가 IPv6 주소가 됩니다.

* About to connect() to ecr.us-west-2.api.aws port 443 (#0)
* Trying IPv6 address... connected
* Connected to ecr.us-west-2.api.aws (IPv6 address) port 443 (#0)
> Host: ecr.us-west-2.api.aws
* Request completely sent off

Microsoft Windows 7 또는 Windows 10을 사용하는 경우, 다음 예제에 나와 있는 ping 명령을 사용하여 IPv4 또는 IPv6을 통해 듀얼 스택 엔드포인트에 액세스할 수 있는지 테스트할 수 있습니다.

ping ecr.us-west-2.api.aws

듀얼 스택 엔드포인트를 사용하여 IPv6을 통해 요청

듀얼 스택 엔드포인트를 사용하여 IPv6을 통해 Amazon ECR API 호출을 실행할 수 있습니다. Amazon ECR API 작업의 기능과 성능은 IPv4를 사용하든 IPv6를 사용하든 일관되게 유지됩니다.

AWS Command Line Interface (AWS CLI) 및 AWS SDKs를 사용하는 경우 파라미터 또는 플래그를 사용하여 듀얼 스택 엔드포인트로 전환하거나 구성 파일에 듀얼 스택 엔드포인트를 직접 지정하여 기본 Amazon ECR 엔드포인트를 재정의하여 IPv6를 활성화할 수 있습니다. 기본 프로필에 use_dualstack_endpoint를 true로 설정하는 명령을 사용하여 구성을 변경할 수도 있습니다. use_dualstack_endpoint에 대한 자세한 내용은 이중 스택 및 FIPS 엔드포인트를 참조하세요.

예 명령을 사용하여 구성 변경

aws configure set default.ecr.use_dualstack_endpoint true

예 AWS CLI를 사용하여 IPv6을 통해 요청

aws ecr describe-repositories --region us-west-2 --endpoint-url https://ecr.us-west-2.api.aws

Docker CLI에서 Amazon ECR 엔드포인트 사용

Amazon ECR 리포지토리에 로그인하고 이미지에 태그를 지정한 후 Amazon ECR 레지스트리에서 OCI 이미지 및 Docker 이미지를 푸시 및 풀할 수 있습니다. 다음 예제에서는 두 듀얼 스택 엔드포인트 모두가 있는 Docker 푸시 및 Docker 풀 명령을 보여줍니다.

예 IPv4 엔드포인트를 사용한 Docker 이미지 푸시

docker push <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

예 듀얼 스택 엔드포인트를 사용한 Docker 이미지 푸시

docker push <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

예 IPv4 엔드포인트를 사용한 Docker 이미지 풀

docker pull <registry-id>.dkr.ecr.us-west-1.amazonaws.com/my-repository:tag

예 듀얼 스택 엔드포인트를 사용한 Docker 이미지 풀

docker pull <registry-id>.dkr-ecr.us-west-1.on.aws/my-repository:tag

IAM 정책에서 IPv6 주소 사용

레지스트리에 IPv6를 사용하여 액세스하기 전에 IP 주소 필터링을 사용하는 IAM 사용자 및 Amazon ECR 레지스트리 정책에 IPv6 주소 범위가 포함되어 있는지 확인하세요. IP 주소 필터링 정책이 IPv6 주소를 처리하도록 업데이트되지 않은 경우, 클라이언트가 IPv6을 사용할 때 버킷에 대한 액세스 권한을 잘못 잃거나 얻을 수 있습니다. IAM으로 액세스 권한을 관리하는 방법에 대한 자세한 내용은 Amazon Elastic Container Registry용 Identity and Access Management 단원을 참조하세요.

IP 주소를 필터링하는 IAM 정책은 IP 주소 조건 연산자를 사용합니다. 다음 버킷 정책 예제는 IP 주소 조건 연산자를 사용하여 허용되는 IPv4 주소의 54.240.143.* 범위를 식별합니다. 이 범위를 벗어나는 모든 IP 주소는 레지스트리(exampleregistry)에 대한 액세스가 거부됩니다. 모든 IPv6 주소가 허용 범위 밖에 있으므로 이 정책은 IPv6 주소가 exampleregistry에 액세스하는 것을 방지합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "ecr:*",
      "Resource": "arn:aws:ecr:*:*:repository/exampleregistry/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

다음 예제에 표시된 바와 같이 IPv4(54.240.143.0/24) 및 IPv6(2001:DB8:1234:5678::/64) 주소 범위를 모두 허용하도록 레지스트리 정책의 조건 요소를 수정할 수 있습니다. 이 Condition 블록 형식을 사용하여 IAM 사용자 및 레지스트리 정책을 모두 업데이트할 수 있습니다.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }
중요

IPv6을 사용하기 전에 IP 주소 필터링을 사용하는 관련된 모든 IAM 사용자와 레지스트리 정책을 업데이트해야 합니다. 레지스트리 정책에는 IP 주소 필터링을 사용하지 않는 것이 좋습니다.

https://console.aws.amazon.com/iam/의 IAM 콘솔을 사용하여 IAM 사용자 정책을 검토할 수 있습니다. IAM에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.