Amazon ECR
Servicio de registro de contenedores completamente administrado para almacenar, gestionar y distribuir imágenes de contenedores Docker de forma segura
Descripción general
Amazon Elastic Container Registry (ECR) es un servicio completamente administrado para almacenar y gestionar imágenes de contenedores Docker y artefactos OCI. Ofrece registros privados para imágenes internas de la organización y un registro público (ECR Public Gallery) para distribución de imágenes de código abierto. Se integra nativamente con ECS, EKS y Lambda, proporcionando autenticación transparente mediante IAM para la descarga de imágenes. Incluye escaneo de vulnerabilidades, cifrado en reposo, replicación entre regiones y políticas de ciclo de vida para gestión automatizada del almacenamiento.
Roles del registro privado y público
ECR proporciona dos tipos de registro con propósitos distintos. El registro privado almacena imágenes de contenedores internos de la organización con control de acceso mediante políticas IAM y políticas de repositorio. Cada cuenta de AWS tiene un registro privado por región, y dentro de él se crean repositorios para organizar las imágenes. El registro público (ECR Public Gallery) permite distribuir imágenes sin autenticación, siendo útil para proyectos de código abierto o imágenes base compartidas. La autenticación para el registro privado se realiza mediante un token temporal obtenido con el comando aws ecr get-login-password, que tiene validez de 12 horas. Para ECS y EKS, la autenticación se maneja automáticamente a través del rol de ejecución de tareas o el rol de nodo.
Gestión de almacenamiento mediante políticas de ciclo de vida
Las políticas de ciclo de vida de ECR automatizan la limpieza de imágenes antiguas o no utilizadas, controlando los costos de almacenamiento. Las reglas pueden basarse en la antigüedad de la imagen (eliminar imágenes con más de N días), el número de imágenes (mantener solo las N más recientes) o el estado de etiqueta (eliminar imágenes sin etiquetar). Las reglas se evalúan en orden de prioridad y se ejecutan una vez cada 24 horas. Un patrón recomendado es mantener las últimas 10 imágenes etiquetadas para facilitar rollbacks y eliminar imágenes sin etiquetar después de 1 día. Para entornos multi-cuenta, la replicación entre regiones y entre cuentas permite compartir imágenes de forma centralizada desde una cuenta de herramientas hacia cuentas de producción.
Escaneo de vulnerabilidades y operación multi-cuenta
ECR ofrece dos modos de escaneo de vulnerabilidades: escaneo básico (basado en la base de datos CVE de Clair) y escaneo mejorado (powered by Amazon Inspector). El escaneo básico se ejecuta al hacer push de la imagen y detecta vulnerabilidades conocidas en paquetes del sistema operativo. El escaneo mejorado proporciona monitoreo continuo, detectando nuevas vulnerabilidades incluso en imágenes ya almacenadas, y también analiza dependencias de lenguajes de programación (npm, pip, Maven). Los hallazgos se integran con Security Hub para visibilidad centralizada. Para operación multi-cuenta en Organizations, se pueden configurar políticas de replicación que copian automáticamente las imágenes a registros de cuentas de destino, y permisos entre cuentas que permiten a cuentas de producción descargar imágenes del registro de la cuenta de desarrollo.