Allgemeines
Ein privates Repository bietet keine Funktionen zur Inhaltssuche und erfordert eine Amazon IAM-basierte Authentifizierung mit AWS-Konto-Anmeldedaten, bevor Images abgerufen werden können. Ein öffentliches Repository verfügt über beschreibende Inhalte und ermöglicht es jedem, von überall her Bilder abzurufen, ohne ein AWS-Konto zu benötigen oder IAM-Zugangsdaten zu verwenden. Images aus dem öffentlichen Repository sind auch in der öffentlichen Galerie von Amazon ECR verfügbar.
Verwendung von Amazon ECR
F: Was sind die ersten Schritte mit Amazon ECR?
Der beste Weg, um mit Amazon ECR zu beginnen, ist die Verwendung der Docker CLI zum Drücken und Ziehen und Ihres ersten Image. Auf unserer Seite Erste Schritte erhalten Sie weitere Informationen.
F: Kann ich auf Amazon ECR in einer VPC zugreifen?
Ja. Sie können AWS PrivateLink-Endpunkte so einrichten, dass Ihre Instances Images aus Ihren privaten Repositorys ziehen können, ohne das öffentliche Internet zu durchqueren.
F: Wie verwalte ich meine Repositorys und Images am besten?
Amazon ECR bietet eine Befehlszeilenoberflächen und APIs, um Repositorys zu erstellen, überwachen und zu löschen sowie Berechtigungen für Repositorys festzulegen. Sie können dieselben Aktionen über die Amazon-ECR-Konsole ausführen. Darauf haben Sie im Abschnitt „Repositorys“ in der Amazon-ECR-Konsole Zugriff. Amazon ECR ist auch mit Docker CLI kompatibel. So können Sie Images auf Ihrem Entwicklungscomputer bereitstellen, abrufen und taggen.
F: Kann ich Amazon ECR in lokalen Umgebungen und vor Ort verwenden?
Ja. Sie haben außerdem von überall dort Zugriff auf Amazon ECR, wo Docker ausgeführt wird, beispielsweise auf Desktop-Computern oder in lokalen Umgebungen.
F: Stellt die öffentliche Amazon ECR-Galerie Images zur Verfügung, die von AWS veröffentlicht wurden?
Ja. Services wie Amazon EKS, Amazon SageMaker und AWS Lambda veröffentlichen ihre offiziellen Container-Images und -Artefakte zur öffentlichen Nutzung in Amazon ECR.
F: Funktioniert Amazon ECR mit Amazon ECS?
Ja. Amazon ECR ist mit Amazon ECS kombiniert, um Ihnen das einfache Speichern, Ausführen und Verwalten von Container-Abbilder für Anwendungen zu ermöglichen, die in Amazon ECS ausgeführt werden. Alles, was Sie tun müssen, ist, das Amazon ECR-Repository in Ihrer Aufgabendefinition anzugeben, und Amazon ECS ruft die entsprechenden Images für Ihre Anwendungen ab.
F: Funktioniert Amazon ECR mit AWS Elastic Beanstalk?
Ja. AWS Elastic Beanstalk unterstützt Amazon ECR für Docker-Umgebungen mit einem oder mehreren Containern. So können Sie auf Amazon ECR gespeicherte Container-Abbilder einfach auf AWS Elastic Beanstalk bereitstellen. Sie müssen lediglich das Amazon ECR-Repository in Ihrer Dockerrun.aws.json-Konfiguration angeben und die AmazonEC2ContainerRegistryReadOnly-Richtlinien an Ihre Container-Instance-Rolle anfügen.
F: Welche Version von Docker Engine unterstützt Amazon ECR?
Amazon ECR unterstützt derzeit Docker Engine 1.7.0 und höher.
F: Welche Version der Docker Registry API unterstützt Amazon ECR?
Amazon ECR unterstützt die Docker Registry V2 API-Spezifizierung.
F: Erstellt Amazon ECR Abbilder automatisch aus einer Docker-Datei?
Amazon ECR lässt sich jedoch mit vielen gängigen CI-/CD-Lösungen integrieren und bietet so diese Option. Weitere Informationen finden Sie auf der Seite der Amazon ECR-Partner.
F: Unterstützt Amazon ECR den Verbundzugriff?
Ja. Amazon ECR ist mit AWS Identity and Access Management (IAM) integriert. Dieser Dienst unterstützt den Identitätsverbund für den delegierten Zugriff auf die AWS Management-Konsole oder die AWS APIs.
F: Welche Version der Docker Image Manifest-Spezifikation unterstützt Amazon ECR?
Amazon ECR unterstützt Docker Image Manifest V2 im Format von Schema 2. Aus Gründen der Rückwärtskompatibilität mit Abbildern des Schemas 1 akzeptiert Amazon ECR weiterhin Abbilder, die im Format von Schema 1 hochgeladen werden. Darüber hinaus kann Amazon ECR ein Abbild des Schemas 2 in ein Schema 1-Abbild konvertieren, wenn dieses mit einer älteren Version von Docker Engine (1.9 oder früher) heruntergeladen wird.
F: Unterstützt Amazon ECR das Format der Open Container Initiative (OCI)?
Ja. Amazon ECR ist kompatibel mit der Bildspezifikation der Open Container Initiative (OCI), so dass Sie OCI-Images und -Artefakte in beide Richtungen übertragen können. Beim Herunterladen kann Amazon ECR auch zwischen Schema 2-Images von Docker Image Manifest V2 und OCI-Images konvertieren.
Sicherheit
F: Wie trägt Amazon ECR zur Sicherheit der Container-Images bei?
Amazon ECR verschlüsselt gespeicherte Images automatisch. Dazu wird die serverseitige Amazon-S3-Verschlüsselung oder die AWS KMS-Verschlüsselung verwendet. Ihre Container-Images werden außerdem über HTTPS übertragen. Sie können Richtlinien zur Verwaltung von Genehmigungen und zur Überprüfung von Zugriffen auf Ihre Images mithilfe der Benutzer und Rollen des AWS Identity and Access Management (IAM) konfigurieren, ohne die Anmeldeinformationen direkt auf Ihren EC2-Instances verwalten zu müssen.
F: Wie verwende ich AWS Identity and Access Management (IAM) für Berechtigungen?
Sie können auf IAM-Ressourcen basierte Richtlinien verwenden, um zu steuern und nachzuverfolgen, wer und was (z. B. EC2-Instances) auf Ihre Container-Images zugreifen kann und wie, wann und wo der Zugriff erfolgt ist. Erstellen Sie zunächst in der AWS-Managementkonsole auf Ressourcen basierte Richtlinien für Ihre Repositorys. Sie können auch Beispielrichtlinien verwenden und Sie über Amazon ECR CLI Ihren Repositorys hinzufügen.
F: Kann ich meine Abbilder für alle AWS-Konten freigeben?
Ja. Hier sehen Sie ein Beispiel dazu, wie Sie Richtlinien für die kontoübergreifende Freigabe von Images erstellen und einrichten.
F: Scannt Amazon ECR Container-Images auf Schwachstellen?
Sie können Amazon ECR aktivieren, um Ihre Container-Images automatisch auf eine breite Palette von Betriebssystem-Schwachstellen zu prüfen. Sie können Bilder auch mittels API-Befehl scannen und Amazon ECR benachrichtigt sie mithilfe von API und in der Konsole, sobald der Scan abgeschlossen ist. Für optimiertes Scannen von Bildern, können Sie Amazon Inspectoreinschalten.
Weitere Informationen zu Amazon ECR-Preisen