コンテナ

Amazon ECR のコンテナイメージ管理 - ライフサイクルポリシーとイメージスキャン

プライベートリポジトリのライフサイクルポリシーで古いイメージを自動削除し、イメージスキャンで脆弱性を検出する運用パターンを紹介します。

約 1 分で読めます

ECR の基本とリポジトリ管理

ECR は Docker コンテナイメージと OCI アーティファクトのマネージドレジストリで、1 イメージあたり最大 42 GB のレイヤーをサポートします。プライベートリポジトリとパブリックリポジトリ (ECR Public) を提供しています。プライベートリポジトリは IAM ポリシーでアクセスを制御し、特定の IAM ロールのみがイメージのプッシュ・プルを許可する設定が可能です。イメージは AES-256 で保存時に暗号化され、KMS のカスタマーマネージドキーも選択できます。イメージタグのイミュータビリティを有効にすると、同じタグで異なるイメージを上書きプッシュすることを防止でき、デプロイの再現性を保証します。

ライフサイクルポリシーとコスト管理

ライフサイクルポリシーはリポジトリ内のイメージを自動的にクリーンアップするルールです。タグ付きイメージの保持数 (例: 最新 10 個を保持)、タグなしイメージの保持期間 (例: 7 日以上経過したものを削除)、特定のタグプレフィックスに基づくルールを定義できます。CI/CD パイプラインで頻繁にイメージをプッシュする環境では、ライフサイクルポリシーなしではストレージコストが際限なく増加します。本番用イメージ (prod-*) は 30 世代保持し、開発用イメージ (dev-*) は 5 世代のみ保持するといった差別化が推奨されます。

イメージスキャンとレプリケーション

基本スキャンはプッシュ時に OS パッケージの脆弱性を Clair エンジンで検出します。拡張スキャンは Inspector と統合し、 OS パッケージに加えてプログラミング言語パッケージ (npm 、 pip 、 Maven) の脆弱性も検出します。拡張スキャンは継続的に実行され、新しい CVE が公開されると既存イメージが再スキャンされます。クロスリージョンレプリケーションはイメージを指定したリージョンに自動複製し、マルチリージョンの ECS/EKS デプロイでイメージのプル時間を短縮します。クロスアカウントレプリケーションも可能で、中央のイメージリポジトリからワークロードアカウントにイメージを配信する構成に活用できます。 コンテナ技術の知見を広げたい場合はAmazon の専門書も活用できます。

まとめ

ECR はコンテナイメージのライフサイクル全体を管理するマネージドレジストリです。ライフサイクルポリシーでストレージコストを自動最適化し、イメージスキャンで脆弱性を継続的に検出します。クロスリージョンレプリケーションとクロスアカウント共有で、マルチリージョン・マルチアカウント環境のコンテナイメージ配布を効率化します。

関連するサービス

Amazon ECRDocker コンテナイメージを安全に保存・管理・配布できるフルマネージドレジストリAmazon ECSコンテナ化されたアプリケーションを簡単に実行・管理できるコンテナオーケストレーションサービスAmazon InspectorEC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス

関連する記事

AWS Fargate によるサーバーレスコンテナ運用 - ECS と EKS での活用パターンインスタンス管理不要のサーバーレスコンテナで、ECS と EKS での使い分けとタスクサイジングによるコスト最適化を紹介します。Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。Amazon ECS によるコンテナオーケストレーション - タスク定義とサービス設計タスク定義の設計からサービスのデプロイ戦略、Fargate と EC2 の使い分け、Auto Scaling の設定パターンまでを体系的に紹介します。

同じテーマの記事

コンテナデプロイの簡素化 - AWS App Runner で実現するゼロ設定デプロイAWS App Runner を使ったコンテナ Web アプリケーションのデプロイ方法を解説。ECS/Fargate との使い分け、自動スケーリング、VPC 統合、CI/CD パイプラインとの連携まで実践的に紹介します。AWS App Runner で最速のコンテナデプロイ - ソースコードから本番環境まで数分でソースコードまたはコンテナイメージを指定するだけで HTTPS エンドポイントが構築される。ECS/Fargate との違いと、VPC コネクタによるプライベートリソース接続を紹介します。AWS App Runner でコンテナ Web アプリを即座にデプロイ - ソースコードからの自動ビルドと HTTPS 公開App Runner によるコンテナアプリケーションのデプロイ、自動スケーリング、カスタムドメインの設定を解説します。コンテナ最適化 OS - Bottlerocket でコンテナホストのセキュリティと運用を強化するAWS Bottlerocket を使ったコンテナホストの最適化を解説。最小限の OS 設計、自動更新、不変インフラ、ECS/EKS との統合を紹介します。Amazon ECS によるコンテナオーケストレーション - タスク定義とサービス設計タスク定義の設計からサービスのデプロイ戦略、Fargate と EC2 の使い分け、Auto Scaling の設定パターンまでを体系的に紹介します。ECS on Fargate のコスト構造を分解する - Spot・ARM・スケーリングの実践的な組み合わせECS on Fargate の料金体系を CPU・メモリ・ストレージの 3 軸で分解し、Fargate Spot、Graviton (ARM)、Service Auto Scaling を組み合わせたコスト最適化の実践手法を解説します。コンテナオーケストレーション - Amazon EKS で実現する Kubernetes 運用の最適化Amazon EKS を活用した Kubernetes のマネージド運用を解説します。AWS Fargate によるサーバーレスコンテナ運用 - ECS と EKS での活用パターンインスタンス管理不要のサーバーレスコンテナで、ECS と EKS での使い分けとタスクサイジングによるコスト最適化を紹介します。

内容が近い記事・サービス

Amazon ECRDocker コンテナイメージを安全に保存・管理・配信できるフルマネージドなコンテナレジストリサービスAmazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。Amazon InspectorEC2 インスタンス、Lambda 関数、コンテナイメージの脆弱性を自動的かつ継続的にスキャンするセキュリティ評価サービス