As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Melhores práticas de criptografia para o Amazon ECR O [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) é um serviço gerenciado de registro de imagens de contêineres seguro, escalável e confiável. O Amazon ECR armazena imagens em buckets do Amazon S3 gerenciados pelo Amazon ECR. Cada repositório do Amazon ECR tem uma configuração de criptografia, que é definida quando o repositório é criado. Por padrão, o Amazon ECR usar criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) Para obter mais informações, consulte [Criptografia em repouso](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) (documentação do Amazon ECR). Considere as seguintes práticas recomendadas de criptografia para esse serviço: + Em vez de usar a criptografia do lado do servidor padrão com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3), use chaves do KMS gerenciadas pelo cliente armazenadas no AWS KMS. Esse tipo de chave fornece as opções de controle mais granulares. **nota** A chave KMS deve existir da mesma forma que Região da AWS o repositório. + Não revogue as concessões que o Amazon ECR cria por padrão quando você provisiona um repositório. Isso pode afetar a funcionalidade, como acessar dados, criptografar novas imagens enviadas ao repositório ou descriptografá-las ao serem extraídas. + Use AWS CloudTrail para registrar as solicitações para as quais o Amazon ECR envia. AWS KMS As entradas no log contêm uma chave de contexto de criptografia para facilitar a identificação. + Configure as políticas do Amazon ECR para controlar o acesso de endpoints específicos da Amazon VPC ou específicos. VPCs Efetivamente, isso isola o acesso via rede a um determinado recurso do Amazon ECR, permitindo o acesso somente por meio da VPC específica. Ao estabelecer uma conexão de rede privada virtual (VPN) com um endpoint da Amazon VPC, é possível criptografar os dados em trânsito. + O Amazon ECR oferece suporte a políticas baseadas em recursos. Usando essas políticas, você pode restringir o acesso com base no endereço IP de origem ou no específico AWS service (Serviço da AWS).