Verschlüsselung im Ruhezustand - Amazon ECR
ÜberlegungenErforderliche IAM-BerechtigungenÜberwachung der Interaktion zwischen Amazon ECR mit AWS KMSFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand

Wichtig

Zweischichtige serverseitige Verschlüsselung mit ( AWS KMS DSSE-KMS) ist nur in den AWS GovCloud (US) Regionen verfügbar.

Amazon ECR speichert Images in Amazon-S3-Buckets, die Amazon ECR verwaltet. Standardmäßig verwendet Amazon ECR eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln, die Ihre Daten im Ruhezustand mit einem AES-256-Verschlüsselungsalgorithmus verschlüsseln. Dies erfordert kein Handeln Ihrerseits und wird ohne zusätzliche Kosten angeboten. Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung mit Amazon S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3) im Benutzerhandbuch von Amazon Simple Storage Service.

Für mehr Kontrolle über die Verschlüsselung Ihrer Amazon ECR-Repositorys können Sie die serverseitige Verschlüsselung mit KMS-Schlüsseln verwenden, die in AWS Key Management Service () gespeichert sind.AWS KMS Wenn Sie Ihre Daten verschlüsseln, können Sie entweder den Standard verwenden Von AWS verwalteter Schlüssel, der von Amazon ECR verwaltet wird, oder Ihren eigenen KMS-Schlüssel (als vom Kunden verwalteter Schlüssel bezeichnet) angeben. AWS KMS Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit in gespeicherten KMS-Schlüsseln AWS KMS (SSE-KMS) im Amazon Simple Storage Service-Benutzerhandbuch.

Sie können wählen, ob Sie zwei Verschlüsselungsebenen auf Ihre Amazon ECR-Images anwenden möchten, indem Sie eine zweischichtige serverseitige Verschlüsselung verwenden mit ( AWS KMS DSSE-KMS). DSSE-KMS Die Option ist ähnlich wie SSE-KMS, wendet jedoch zwei einzelne Verschlüsselungsebenen anstelle einer Ebene an. Weitere Informationen finden Sie unter Verwenden der serverseitigen Dual-Layer-Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS).

Jedes Amazon ECR-Repository hat eine Verschlüsselungskonfiguration, die bei der Erstellung des Repositorys festgelegt wird. Sie können für jedes Repository unterschiedliche Verschlüsselungskonfigurationen verwenden. Weitere Informationen finden Sie unter Erstellen eines ECR privaten Amazon-Repositorys zum Speichern von Bildern.

Wenn ein Repository mit aktivierter AWS KMS Verschlüsselung erstellt wird, wird ein KMS-Schlüssel verwendet, um den Inhalt des Repositorys zu verschlüsseln. Darüber hinaus fügt Amazon ECR dem KMS-Schlüssel einen AWS KMS Zuschuss hinzu, wobei das Amazon ECR-Repository als Principal des Zuschussempfängers fungiert.

Im Folgenden erfahren Sie, wie Amazon ECR mit AWS KMS integriert ist, um Ihre Repositories zu verschlüsseln und zu entschlüsseln:

  1. Beim Erstellen eines Repositorys sendet Amazon ECR einen DescribeKeyAufruf an, AWS KMS um den Amazon-Ressourcennamen (ARN) des in der Verschlüsselungskonfiguration angegebenen KMS-Schlüssels zu überprüfen und abzurufen.

  2. Amazon ECR sendet zwei CreateGrantAnfragen AWS KMS zur Erstellung von Zuschüssen für den KMS-Schlüssel, damit Amazon ECR Daten mithilfe des Datenschlüssels ver- und entschlüsseln kann.

  3. Beim Pushen eines Images wird eine GenerateDataKeyAnfrage gestellt, die den KMS-Schlüssel AWS KMS angibt, der für die Verschlüsselung der Bildebene und des Manifests verwendet werden soll.

  4. AWS KMS generiert einen neuen Datenschlüssel, verschlüsselt ihn unter dem angegebenen KMS-Schlüssel und sendet den verschlüsselten Datenschlüssel, der zusammen mit den Metadaten der Bildebene und dem Imagemanifest gespeichert wird.

  5. Beim Abrufen eines Bilds wird eine Decrypt-Anfrage an gesendet AWS KMS, in der der verschlüsselte Datenschlüssel angegeben wird.

  6. AWS KMS entschlüsselt den verschlüsselten Datenschlüssel und sendet den entschlüsselten Datenschlüssel an Amazon S3.

  7. Der Datenschlüssel wird zur Entschlüsselung der Image-Ebene verwendet, bevor die Image-Ebene abgerufen wird.

  8. Wenn ein Repository gelöscht wird, sendet Amazon ECR zwei RetireGrantAnfragen an, AWS KMS um die für das Repository erstellten Zuschüsse zurückzuziehen.

Überlegungen

Die folgenden Punkte sollten bei der Verwendung von AWS KMS basierter Verschlüsselung berücksichtigt werden (SSE-KMS or DSSE-KMS) mit Amazon ECR.

  • Wenn Sie Ihr Amazon ECR-Repository mit KMS-Verschlüsselung erstellen und keinen KMS-Schlüssel angeben, verwendet Amazon ECR standardmäßig einen Von AWS verwalteter Schlüssel mit dem Aliasaws/ecr. Dieser KMS-Schlüssel wird in Ihrem Konto erstellt, wenn Sie zum ersten Mal ein Repository mit aktivierter KMS-Verschlüsselung erstellen.

  • Die Konfiguration der Repository-Verschlüsselung kann nach der Erstellung eines Repositorys nicht geändert werden.

  • Wenn Sie die KMS-Verschlüsselung mit Ihrem eigenen KMS-Schlüssel verwenden, muss sich dieser Schlüssel in derselben Region wie Ihr Repository befinden.

  • Die Bewilligungen, die Amazon ECR in Ihrem Namen erstellt, sollten nicht widerrufen werden. Wenn Sie die Genehmigung widerrufen, die Amazon ECR die Erlaubnis erteilt, die AWS KMS Schlüssel in Ihrem Konto zu verwenden, kann Amazon ECR nicht auf diese Daten zugreifen, keine neuen Bilder verschlüsseln, die in das Repository übertragen werden, oder sie entschlüsseln, wenn sie abgerufen werden. Wenn Sie eine Förderung für Amazon ECR widerrufen, tritt die Änderung sofort in Kraft. Um Zugriffsrechte zu widerrufen, sollten Sie das Repository löschen, anstatt die Gewährung zu widerrufen. Wenn ein Repository gelöscht wird, hebt Amazon ECR die Förderungen in Ihrem Namen auf.

  • Die Verwendung von Schlüsseln ist mit Kosten verbunden. AWS KMS Weitere Informationen finden Sie unter AWS Key Management Service Preise.

  • Die Verwendung der serverseitigen Dual-Layer-Verschlüsselung ist mit Kosten verbunden. Weitere Informationen finden Sie unter Amazon ECR — Preise

Erforderliche IAM-Berechtigungen

Wenn Sie ein Amazon ECR-Repository mit serverseitiger Verschlüsselung unter Verwendung von AWS KMS erstellen oder löschen, hängen die erforderlichen Berechtigungen von dem spezifischen KMS-Schlüssel ab, den Sie verwenden.

Erforderliche IAM-Berechtigungen bei Verwendung von Von AWS verwalteter Schlüssel für Amazon ECR

Wenn die AWS KMS Verschlüsselung für ein Amazon ECR-Repository aktiviert ist, aber kein KMS-Schlüssel angegeben ist, wird standardmäßig der Von AWS verwalteter Schlüssel für Amazon ECR verwendet. Wenn der AWS-managed KMS-Schlüssel für Amazon ECR zum Verschlüsseln eines Repositorys verwendet wird, kann jeder Principal, der über die Berechtigung zum Erstellen eines Repositorys verfügt, auch die AWS KMS Verschlüsselung für das Repository aktivieren. Der IAM-Prinzipal, der das Repository löscht, muss jedoch die kms:RetireGrant-Berechtigung haben. Dadurch können die Grants, die dem AWS KMS Schlüssel bei der Erstellung des Repositorys hinzugefügt wurden, zurückgezogen werden.

Die folgende Beispiel-IAM-Richtlinie kann als Inline-Richtlinie zu einem Benutzer hinzugefügt werden, um sicherzustellen, dass er über die Mindestberechtigungen verfügt, die zum Löschen eines Repositorys mit aktivierter Verschlüsselung erforderlich sind. Der KMS-Schlüssel, der zur Verschlüsselung des Repositorys verwendet wird, kann über den Parameter resource angegeben werden.

{
    "Version": "2012-10-17",
    "Id": "ecr-kms-permissions",
    "Statement": [
        {
            "Sid": "AllowAccessToRetireTheGrantsAssociatedWithTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:RetireGrant"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
        }
    ]
}

Erforderliche IAM-Berechtigungen bei Verwendung eines vom Kunden verwalteten Schlüssels

Beim Erstellen eines Repositorys mit aktivierter AWS KMS Verschlüsselung mithilfe eines vom Kunden verwalteten Schlüssels sind für den Benutzer oder die Rolle, die das Repository erstellt, Berechtigungen sowohl für die KMS-Schlüsselrichtlinie als auch für die IAM-Richtlinie erforderlich.

Bei der Erstellung Ihres eigenen KMS-Schlüssels können Sie entweder die von AWS KMS erstellte Standard-Schlüsselrichtlinie verwenden oder Ihre eigene angeben. Um sicherzustellen, dass der vom Kunden verwaltete Schlüssel vom Kontoinhaber verwaltet werden kann, sollte die Schlüsselrichtlinie für den KMS-Schlüssel alle AWS KMS Aktionen für den Root-Benutzer des Kontos zulassen. Die Schlüsselrichtlinie kann um zusätzliche Berechtigungen erweitert werden, doch sollte zumindest der Root-Benutzer die Berechtigung erhalten, den KMS-Schlüssel zu verwalten. Damit der KMS-Schlüssel nur für Anfragen verwendet werden kann, die ihren Ursprung in Amazon ECR haben, können Sie den ViaService Bedingungsschlüssel kms: mit dem ecr.<region>.amazonaws.com Wert verwenden.

Die folgende Beispielschlüsselrichtlinie gewährt dem AWS Konto (Root-Benutzer), dem der KMS-Schlüssel gehört, vollen Zugriff auf den KMS-Schlüssel. Weitere Informationen zu dieser Beispielschlüsselrichtlinie finden Sie unter Erlaubt Zugriff auf das AWS Konto und aktiviert IAM-Richtlinien im AWS Key Management Service Entwicklerhandbuch.

{
    "Version": "2012-10-17",
    "Id": "ecr-key-policy",
    "Statement": [
        {
            "Sid": "EnableIAMUserPermissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

Der IAM-Benutzer, die IAM-Rolle oder das AWS Konto, das Ihre Repositorys erstellt kms:CreateGrantkms:RetireGrant, muss zusätzlich zu den erforderlichen Amazon kms:DescribeKey ECR-Berechtigungen über die Berechtigungen, und verfügen.

Anmerkung

Die kms:RetireGrant-Berechtigung muss der IAM-Richtlinie des Benutzers oder der Rolle hinzugefügt werden, der/die das Repository erstellt. Die Berechtigungen kms:CreateGrant und kms:DescribeKey können entweder der Schlüsselrichtlinie für den KMS-Schlüssel oder der IAM-Richtlinie des Benutzers oder der Rolle, die das Repository erstellt, hinzugefügt werden. Weitere Informationen zur Funktionsweise von AWS KMS Berechtigungen finden Sie unter AWS KMS API-Berechtigungen: Referenz zu Aktionen und Ressourcen im Entwicklerhandbuch.AWS Key Management Service

Die folgende Beispiel-IAM-Richtlinie kann als Inline-Richtlinie zu einem Benutzer hinzugefügt werden, um sicherzustellen, dass er über die Mindestberechtigungen verfügt, die erforderlich sind, um ein Repository mit aktivierter Verschlüsselung zu erstellen und das Repository zu löschen, wenn er es nicht mehr benötigt. Der zur Verschlüsselung des Repositorys verwendete AWS KMS key -Schlüssel kann mit dem Ressourcen-Parameter angegeben werden.

{
    "Version": "2012-10-17",
    "Id": "ecr-kms-permissions",
    "Statement": [
        {
            "Sid": "AllowAccessToCreateAndRetireTheGrantsAssociatedWithTheKeyAsWellAsDescribeTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-west-2:111122223333:key/b8d9ae76-080c-4043-92EXAMPLE"
        }
    ]
}

Erlauben Sie einem Benutzer, KMS-Schlüssel in der Konsole aufzulisten, wenn er ein Repository erstellt

Wenn Sie die Amazon ECR-Konsole zum Erstellen eines Repositorys verwenden, können Sie einem Benutzer die Berechtigung erteilen, die vom Kunden verwalteten KMS-Schlüssel in der Region aufzulisten, wenn Sie die Verschlüsselung für das Repository aktivieren. Das folgende Beispiel für eine IAM-Richtlinie zeigt die Berechtigungen, die für die Auflistung Ihrer KMS-Schlüssel und -Aliase bei Verwendung der Konsole erforderlich sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:DescribeKey"
    ],
    "Resource": "*"
  }
}

Überwachung der Interaktion zwischen Amazon ECR mit AWS KMS

Sie können AWS CloudTrail damit die Anfragen verfolgen, an die Amazon ECR in AWS KMS Ihrem Namen sendet. Die Protokolleinträge im Protokoll enthalten einen Verschlüsselungskontextschlüssel, um sie leichter identifizierbar zu machen. CloudTrail

Amazon ECR-Verschlüsselungskontext

Ein Verschlüsselungskontext ist ein Satz von Schlüssel-Wert-Paaren, der beliebige nicht geheime Daten enthält. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS kryptografisch an die verschlüsselten Daten gebunden. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

In seinen Anfragen GenerateDataKeyund Decrypt verwendet Amazon ECR einen Verschlüsselungskontext mit zwei Name-Wert-Paaren, die das verwendete Repository und den verwendeten Amazon S3 S3-Bucket identifizieren. AWS KMS Dies wird im folgenden Beispiel veranschaulicht. Die Namen variieren nicht, aber die kombinierten Verschlüsselungskontextwerte sind für jeden Wert unterschiedlich.

"encryptionContext": {
    "aws:s3:arn": "arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df",
    "aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"
}

Sie können den Verschlüsselungskontext verwenden, um diese kryptografischen Vorgänge in Prüfaufzeichnungen und Protokollen wie Amazon CloudWatch Logs zu identifizieren AWS CloudTrailund als Voraussetzung für die Autorisierung in Richtlinien und Zuschüssen zu verwenden.

Der Amazon ECR-Verschlüsselungskontext besteht aus zwei Name-Wert-Paaren.

  • aws:s3:arn - Das erste Name-Wert-Paar identifiziert den Bucket. Der Schlüssel lautet aws:s3:arn. Der Wert ist der Amazon Resource Name (ARN) des Amazon S3-Buckets.

    "aws:s3:arn": "ARN of an Amazon S3 bucket"

    Wenn die ARN des Buckets z. B. arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df ist, würde der Verschlüsselungskontext das folgende Paar enthalten.

    "arn:aws:s3:::us-west-2-starport-manifest-bucket/EXAMPLE1-90ab-cdef-fedc-ba987BUCKET1/sha256:a7766145a775d39e53a713c75b6fd6d318740e70327aaa3ed5d09e0ef33fc3df"

  • aws:ecr:arn – Das zweite Name-Wert-Paar identifiziert den Amazon Resource Name (ARN) des Repositorys. Der Schlüssel lautet aws:ecr:arn. Der Wert ist der ARN des Repositorys.

    "aws:ecr:arn": "ARN of an Amazon ECR repository"

    Wenn der ARN des Repository beispielsweise arn:aws:ecr:us-west-2:111122223333:repository/repository-name lautet, würde der Verschlüsselungskontext das folgende Paar enthalten.

    "aws:ecr:arn": "arn:aws:ecr:us-west-2:111122223333:repository/repository-name"

Fehlerbehebung

Wenn Sie ein Amazon ECR-Repository mit der Konsole löschen und das Repository erfolgreich gelöscht wurde, Amazon ECR aber nicht in der Lage ist, die zu Ihrem KMS-Schlüssel für Ihr Repository hinzugefügten Grants zurückzuziehen, erhalten Sie die folgende Fehlermeldung.

The repository [{repository-name}] has been deleted successfully but the grants created by the kmsKey [{kms_key}] failed to be retired

In diesem Fall können Sie die AWS KMS Zuschüsse für das Repository selbst zurückziehen.

Um AWS KMS Zuschüsse für ein Repository manuell zurückzuziehen

  1. Listet die Grants für den AWS KMS Schlüssel auf, der für das Repository verwendet wird. Der key-id-Wert ist in der Fehlermeldung enthalten, die Sie von der Konsole erhalten. Sie können den list-keys Befehl auch verwenden, um Von AWS verwaltete Schlüssel sowohl die als auch die vom Kunden verwalteten KMS-Schlüssel in einer bestimmten Region in Ihrem Konto aufzulisten.

    aws kms list-grants \
     --key-id b8d9ae76-080c-4043-9237-c815bfc21dfc 
     --region us-west-2

    Die Ausgabe enthält einen EncryptionContextSubset mit dem Amazon Resource Name (ARN) Ihres Repositorys. Auf diese Weise können Sie feststellen, welche der zum Schlüssel hinzugefügten Förderungen diejenige ist, die Sie aufheben möchten. Der GrantId-Wert wird verwendet, wenn die Förderung im nächsten Schritt aufgehoben wird.

  2. Alle Grants für den AWS KMS Schlüssel, der dem Repository hinzugefügt wurde, zurückziehen. Ersetzen Sie den Wert für GrantId durch die ID des Grants aus der Ausgabe des vorherigen Schritts.

    aws kms retire-grant \
     --key-id b8d9ae76-080c-4043-9237-c815bfc21dfc \
     --grant-id GrantId \
     --region us-west-2