Ir al contenido

Amazon ECR

Amazon ECR (Elastic Container Registry) es el registro de contenedores administrado de AWS. Almacena, versiona y escanea imágenes Docker que se obtienen de ECS, EKS o canalizaciones CI/CD.

¿Qué es Amazon ECR?

Amazon ECR (Elastic Container Registry) es el servicio de almacenamiento gestionado de AWS para imágenes de contenedores. Un registro de contenedores es el almacén central en el que se guardan y versionan las imágenes de Docker, y desde donde se recuperan; es similar a Docker Hub, pero privado y profundamente integrado en AWS.

En una arquitectura de contenedores moderna, el registro es un nodo central: el pipeline de CI/CD crea una imagen a partir del código fuente y la almacena en ECR. Los servicios de orquestación como ECS o EKS obtienen la imagen de allí para ejecutar la aplicación. Sin un registro fiable y seguro, este flujo de trabajo no funciona.

Funciones de Amazon ECR

  • Repositorios privados: las imágenes se almacenan de forma privada y solo se ponen a disposición de usuarios y servicios autorizados.
  • Análisis de imágenes: ECR analiza automáticamente las imágenes en busca de vulnerabilidades conocidas (CVE) en los paquetes del sistema operativo y las dependencias.
  • Reglas de ciclo de vida: las imágenes antiguas o en desuso se eliminan automáticamente para limitar los costes de almacenamiento.
  • Cifrado: las imágenes se cifran en reposo, opcionalmente con claves propias a través de AWS KMS.
  • Replicación: las imágenes se pueden replicar automáticamente en varias regiones.

ECR y la seguridad

El acceso a ECR se controla a través de AWS IAM. En lugar de contraseñas de larga duración, los servicios y las canalizaciones reciben credenciales de acceso temporales que rotan automáticamente. El escaneo de imágenes integrado es un componente importante de una estrategia DevSecOps: las vulnerabilidades se detectan antes de que una imagen entre en producción. De este modo, se evita que se implemente una imagen con una vulnerabilidad crítica.

Integración en pipelines de CI/CD

ECR es un componente natural de los flujos de trabajo de implementación automatizados. Un pipeline típico crea una nueva imagen con cada commit, le asigna una etiqueta única, la sube a ECR y, a continuación, inicia una implementación en ECS o EKS. Gracias a las etiquetas únicas —basadas, por ejemplo, en el hash del commit—, se puede rastrear en todo momento qué versión del código está en producción.

ECR en las pymes

En cuanto una empresa utiliza contenedores en producción, un registro privado es imprescindible. ECR es la opción más obvia si el resto de la infraestructura ya se ejecuta en AWS, ya que los permisos, el cifrado y la conexión de red interactúan sin esfuerzo adicional. Las reglas de ciclo de vida deben estar activas desde el principio, para que las imágenes no utilizadas no generen costes de almacenamiento sin que nos demos cuenta.

Preguntas frecuentes sobre Amazon ECR

La ECR cobra unos 0,10 dólares al mes por gigabyte de imágenes almacenadas, además de los costes de transferencia de datos. Para la mayoría de los proyectos de tamaño medio, los costes de ECR se mantienen en el rango de un dígito o dos dígitos bajos al mes, siempre que las reglas del ciclo de vida eliminen regularmente las imágenes antiguas.

Docker Hub es un registro público independiente del proveedor. ECR es un registro privado integrado en AWS con control de acceso basado en IAM, análisis automático de vulnerabilidades y cifrado. Para las cargas de trabajo productivas de AWS, ECR suele ser la opción más segura y mejor integrada.

Sí, ECR puede comprobar automáticamente las imágenes en busca de vulnerabilidades conocidas (CVE) durante la carga. De este modo, las dependencias vulnerables se reconocen antes de que la imagen se despliegue en producción, un componente central de una estrategia DevSecOps.

Active reglas de ciclo de vida que eliminen automáticamente las imágenes antiguas sin etiquetar o las que superen un número determinado. Sin estas reglas, las imágenes nuevas se acumulan con cada compilación y los costes de almacenamiento crecen sin que nos demos cuenta.

Términos relacionados

Pipeline CI/CD DevSecOps Docker Amazon EKS Amazon ECS & AWS Fargate AWS KMS

Servicios relacionados

Pipelines CI/CD

Releases en minutos, no semanas — pipelines automatizados que liberan a su equipo y detectan errores antes de que lleguen a producción.

¿Te interesa?

Hablemos de tu proyecto. Te asesoramos sin compromiso.

Contactar

Última actualización: mayo 2026