[AWS] Amazon ECR의 개념 및 구성 요소

https://docs.aws.amazon.com/ko_kr/AmazonECR/latest/userguide/concept-and-components.html

Amazon ECR의 개념 및 구성 요소 - Amazon ECR

---

Amazon ECR 개념 및 구성 요소

Amazon ECR이란?

Amazon ECR(Elastic Container Registry)은 안전하고 확장 가능하며 안정적인 AWS 완전 관리형 컨테이너 이미지 레지스트리 서비스. AWS IAM을 사용하여 리소스 기반 권한이 있는 프라이빗 리포지토리를 지원하며, 원하는 CLI를 사용하여 Docker 이미지, OCI 이미지 및 OCI 호환 아티팩트를 푸시·풀·관리 가능.

---

주요 구성 요소

1. 레지스트리 (Registry)

각 AWS 계정은 기본 프라이빗 Amazon ECR 레지스트리와 함께 제공. 기본 프라이빗 레지스트리의 URL 형식은 아래와 같음.

https://aws_account_id.dkr.ecr.region.amazonaws.com

구분	설명
프라이빗 레지스트리	AWS 계정당 1개 제공, IAM 인증 필요
퍼블릭 레지스트리	public.ecr.aws — 누구나 인증 없이 이미지 Pull 가능, ECR 퍼블릭 갤러리에 공개

기본적으로 계정은 프라이빗 레지스트리에 있는 리포지토리에 대한 읽기 및 쓰기 액세스 권한을 가짐.

---

2. 리포지토리 (Repository)

Amazon ECR의 리포지토리는 Docker 이미지, OCI 이미지 및 기타 OCI 호환 아티팩트를 저장할 수 있는 논리적 컬렉션. 단일 레지스트리 내에서 여러 리포지토리를 사용하여 컨테이너 이미지를 구성 가능.

네임스페이스로 리포지토리 구성

리포지토리 이름은 네임스페이스를 지원하여 유사한 리포지토리를 그룹화 가능. 예를 들어, 팀 A는 team-a 네임스페이스, 팀 B는 team-b 네임스페이스를 사용하면 각 팀이 team-a/web-app, team-b/web-app처럼 충돌 없이 동일한 이름의 이미지를 운용 가능.

---

3. 리포지토리 정책

리포지토리 정책을 사용하면 리포지토리 및 그 안의 콘텐츠에 대한 액세스를 제어 가능. IAM 사용자·그룹·역할별로 푸시/풀/관리 권한을 세분화하여 지정 가능.

---

4. 컨테이너 이미지

리포지토리에 컨테이너 이미지를 푸시하고 가져오기 가능. 개발 시스템에서 로컬로 이미지를 사용하거나, Amazon ECS 태스크 정의 및 Amazon EKS 포드 사양에서 활용 가능.

---

주요 기능

이미지 스캔

이미지 스캔은 컨테이너 이미지의 소프트웨어 취약성을 식별하는 데 도움이 됨. 각 리포지토리는 푸시 시 스캔하도록 구성 가능하며, 리포지토리로 푸시된 새 이미지마다 자동으로 스캔.

이미지 복제

교차 리전 및 교차 계정 복제를 통해 이미지를 필요한 곳에 쉽게 배치 가능. 레지스트리 설정으로 구성되며 리전별 단위로 적용.

풀스루 캐시 (Pull-through Cache)

풀스루 캐시 규칙은 프라이빗 Amazon ECR 레지스트리의 업스트림 레지스트리에서 리포지토리를 캐시하는 방법을 제공. Amazon ECR은 정기적으로 업스트림 레지스트리에 연결하여 캐시된 이미지가 최신 상태인지 확인.

데이터 저장 및 암호화

Amazon ECR은 컨테이너 이미지 및 아티팩트를 Amazon S3에 저장하며, 99.999999999%의 데이터 내구성을 제공. 저장 이미지는 Amazon S3 서버 측 암호화로 자동 암호화되며, AWS KMS 키를 사용한 암호화도 선택 가능.

태그 불변성

이미지 태그를 덮어쓰지 않도록 설정 가능. 기존 태그로 이미지를 푸시하려 하면 ImageTagAlreadyExistsException이 반환.

---

AWS 서비스 통합

Amazon ECR은 Amazon ECS, Amazon EKS, AWS Lambda와 통합하여 개발에서 프로덕션까지의 워크플로를 간소화 가능. ECS 태스크 정의에 ECR 리포지토리를 지정하기만 하면 ECS가 자동으로 해당 이미지를 검색.