本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon ECR 的加密最佳实践
<a name="ecr"></a>

[Amazon Elastic Container Registry（Amazon ECR）](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html)是一项安全、可扩展且可靠的托管容器映像注册表服务。

Amazon ECR 将映像存储在 Amazon ECR 管理的 Amazon S3 存储桶中。每个 Amazon ECR 存储库都有一个加密配置，该配置是在创建存储库时设置的。默认情况下，Amazon ECR 使用具有 Amazon S3 托管的（SSE-S3）加密密钥的服务器端加密。有关更多信息，请参阅 [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html)（Amazon ECR 文档）。

考虑下面针对该服务的加密最佳实践：
+ 使用 AWS KMS中存储的客户管理的 KMS 密钥，而不是使用具有 Amazon S3 托管的（SSE-S3）加密密钥的默认服务器端加密。这种密钥类型提供了最精细的控制选项。
**注意**  
KMS 密钥必须与存储库位于同一 AWS 区域 位置。
+ 在预置存储库时，请勿撤销 Amazon ECR 默认创建的授权。这可能会影响功能，比如访问数据、对推送到存储库的新图像进行加密或在提取时对其进行解密。
+  AWS CloudTrail 用于记录 Amazon ECR 向其发送的 AWS KMS请求。日志条目包含加密上下文密钥，以便更容易识别它们。
+ 配置 Amazon ECR 策略以控制来自特定亚马逊 VPC 终端节点或特定 VPCs终端节点的访问。实际上，这隔离了对特定 Amazon ECR 资源的网络访问，仅允许从特定 VPC 访问。通过与 Amazon VPC 端点建立虚拟专用网络（VPN）连接，您可以对传输中数据进行加密。
+ Amazon ECR 支持基于资源的策略。使用这些策略，您可以根据源 IP 地址或具体地址来限制访问权限 AWS 服务。