Skip to content
Latchkey

O Que É o Amazon ECR? Container Registry da AWS

O Amazon ECR (Elastic Container Registry) é o registry gerenciado da AWS para armazenar, versionar e puxar imagens de container, integrado ao IAM e ao restante da AWS.

Assim que seu pipeline faz build de uma imagem de container, ele precisa de algum lugar para armazená-la. O ECR é esse lugar na AWS: um registry privado (ou público) do qual ECS, EKS e Lambda puxam. Como é nativo da AWS, autenticação e permissões fluem pelo IAM em vez de credenciais separadas.

Repositories e image tags

Cada aplicação ganha um ECR repository, e cada build produz uma imagem taggeada (frequentemente o commit SHA ou uma versão). Tags imutáveis podem ser impostas para que uma tag sempre se refira à mesma imagem, o que é valioso para deploys reprodutíveis.

Autenticação via IAM

Você não armazena uma senha de registry. Em vez disso, a AWS CLI busca um login token de curta duração vinculado à sua identidade IAM, e o Docker o usa para fazer push ou pull. Em um pipeline isso significa que uma role IAM/OIDC concede acesso ao registry sem nenhum secret estático.

Recursos integrados

  • Image scanning para vulnerabilidades conhecidas.
  • Lifecycle policies para expirar imagens antigas ou sem tag.
  • Replicação cross-region e cross-account.
  • Criptografia das imagens em repouso.

ECR vs outros registries

O ECR compete com o Docker Hub, o GHCR e outros registries. Sua vantagem na AWS é a integração estreita com o IAM e os pulls de baixa latência a partir de ECS, EKS e Fargate na mesma region, o que acelera a inicialização dos containers.

Papel no CI/CD

Um pipeline faz login no ECR, faz build da imagem, a tagga com o commit SHA, e faz push. O passo de deploy então referencia aquela tag ao atualizar o ECS ou EKS. Os runners da Latchkey também podem fazer cache das layers Docker no ECR, para que os rebuilds reutilizem layers inalteradas e os pushes fiquem rápidos.

Principais conclusões

  • O ECR é o container registry gerenciado da AWS, integrado ao IAM para autenticação.
  • Pushes e pulls usam tokens IAM de curta duração, não senhas armazenadas.
  • Pipelines enviam imagens taggeadas para o ECR antes de implantar no ECS, EKS ou Lambda.

Guias relacionados