Amazon ECR
Amazon ECR (Elastic Container Registry) ist die verwaltete Container-Registry von AWS. Sie speichert, versioniert und scannt Docker-Images, die von ECS, EKS oder CI/CD-Pipelines bezogen werden.
Was ist Amazon ECR?
Amazon ECR (Elastic Container Registry) ist der verwaltete Speicherdienst von AWS für Container-Images. Eine Container-Registry ist das zentrale Lager, in dem Docker-Images abgelegt, versioniert und von dort abgerufen werden – vergleichbar mit Docker Hub, aber privat und tief in AWS integriert.
In einer modernen Container-Architektur ist die Registry ein zentraler Knotenpunkt: Die CI/CD-Pipeline baut aus dem Quellcode ein Image und legt es in ECR ab. Orchestrierungsdienste wie ECS oder EKS beziehen das Image von dort, um die Anwendung auszuführen. Ohne eine zuverlässige, sichere Registry funktioniert dieser Workflow nicht.
Funktionen von Amazon ECR
- Private Repositories: Images werden privat gespeichert und nur für berechtigte Nutzer und Dienste zugänglich gemacht.
- Image-Scanning: ECR scannt Images automatisch auf bekannte Schwachstellen (CVEs) in Betriebssystem-Paketen und Abhängigkeiten.
- Lifecycle-Regeln: Alte oder ungenutzte Images werden automatisch entfernt, um Speicherkosten zu begrenzen.
- Verschlüsselung: Images werden im Ruhezustand verschlüsselt, optional mit eigenen Schlüsseln über AWS KMS.
- Replikation: Images lassen sich automatisch über mehrere Regionen replizieren.
ECR und Sicherheit
Der Zugriff auf ECR wird über AWS IAM gesteuert. Statt langlebiger Passwörter erhalten Dienste und Pipelines temporäre, automatisch rotierende Zugangsdaten. Das integrierte Image-Scanning ist ein wichtiger Baustein einer DevSecOps-Strategie: Schwachstellen werden bereits erkannt, bevor ein Image in Produktion geht. So lässt sich verhindern, dass ein Image mit einer kritischen Sicherheitslücke ausgerollt wird.
Integration in CI/CD-Pipelines
ECR ist ein natürlicher Bestandteil automatisierter Deployment-Workflows. Eine typische Pipeline baut bei jedem Commit ein neues Image, versieht es mit einem eindeutigen Tag, lädt es nach ECR hoch und stößt anschließend ein Deployment in ECS oder EKS an. Durch eindeutige Tags – etwa basierend auf dem Commit-Hash – bleibt jederzeit nachvollziehbar, welche Code-Version in Produktion läuft.
ECR im Mittelstand
Sobald ein Unternehmen Container produktiv einsetzt, ist eine private Registry unverzichtbar. ECR ist die naheliegende Wahl, wenn die übrige Infrastruktur bereits auf AWS läuft, weil Berechtigungen, Verschlüsselung und Netzwerkanbindung ohne Zusatzaufwand zusammenspielen. Lifecycle-Regeln sollten von Anfang an aktiv sein, damit ungenutzte Images nicht unbemerkt Speicherkosten verursachen.
Häufig gestellte Fragen zu Amazon ECR
ECR berechnet rund 0,10 USD pro Gigabyte gespeicherter Images und Monat sowie Datentransfer-Kosten. Für die meisten mittelständischen Projekte bleiben die ECR-Kosten im einstelligen oder niedrigen zweistelligen Bereich pro Monat, sofern Lifecycle-Regeln alte Images regelmäßig entfernen.
Docker Hub ist eine öffentliche, anbieterunabhängige Registry. ECR ist eine private, in AWS integrierte Registry mit IAM-basierter Zugriffskontrolle, automatischem Schwachstellen-Scanning und Verschlüsselung. Für produktive AWS-Workloads ist ECR meist die sicherere und besser integrierte Wahl.
Ja. ECR kann Images automatisch beim Hochladen auf bekannte Schwachstellen (CVEs) prüfen. So werden verwundbare Abhängigkeiten erkannt, bevor das Image in Produktion ausgerollt wird – ein zentraler Baustein einer DevSecOps-Strategie.
Aktiviere Lifecycle-Regeln, die alte, ungetaggte oder über eine bestimmte Anzahl hinausgehende Images automatisch löschen. Ohne solche Regeln sammeln sich bei jedem Build neue Images an und die Speicherkosten wachsen unbemerkt.
Verwandte Begriffe
Passende Leistungen
Interesse geweckt?
Lassen Sie uns über Ihr Projekt sprechen. Wir beraten Sie gerne unverbindlich.
Kontakt aufnehmenZuletzt aktualisiert: Mai 2026