本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon ECR 的加密最佳實務 [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) 是受管容器映像登錄服務,具安全性、可擴展性和可靠性。 Amazon ECR 將映像儲存在 Amazon ECR 管理的 Amazon S3 儲存貯體中。每個 Amazon ECR 儲存庫都有一個加密組態,這是在建立儲存庫時所設定。依預設,Amazon ECR 將伺服器端加密與 Amazon S3 受管 (SSE-S3) 加密金鑰搭配使用。如需詳細資訊,請參閱[靜態加密](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) (Amazon ECR 文件)。 請考慮此服務的下列加密最佳實務: + 不要使用具有 Amazon S3 受管 (SSE-S3) 加密金鑰的預設伺服器端加密,而是使用儲存在 AWS KMS中的客戶受管 KMS 金鑰。此金鑰類型提供最細緻的控制選項。 **注意** KMS 金鑰必須存在於 AWS 區域 與儲存庫相同的 中。 + 佈建儲存庫時,請勿撤銷 Amazon ECR 依預設建立的授權。這可能會影響功能,例如存取資料、加密推送至儲存庫的新映像,或在提取映像時將其解密。 + 使用 AWS CloudTrail 記錄 Amazon ECR 傳送的請求 AWS KMS。日誌項目包含加密內容金鑰,可使其更容易識別。 + 設定 Amazon ECR 政策以從特定 Amazon VPC 端點或特定 VPC 控制存取。實際上,這隔離了對特定 Amazon ECR 資源的網路存取,僅允許從特定 VPC 進行存取。透過使用 Amazon VPC 端點建立虛擬私有網路 (VPN) 連線,您可以對傳輸中的資料進行加密。 + Amazon ECR 支援以資源為基礎的政策。您可以使用這些政策,根據來源 IP 地址或特定 來限制存取 AWS 服務。