Proyecto de hoy: construir una imagen de contenedor Docker y publicarla de forma segura en Amazon ECR para habilitar despliegues entre cuentas. En este caso, mi compañero estaba en la región us-east-1 y yo en af-south-1. Como la autenticación de ECR es específica por región, no pudo autenticarse contra mi registro. La solución fue crear un repositorio homólogo en us-east-1 para permitir la operación cruzada.
Qué es Amazon ECR. Amazon Elastic Container Registry es un servicio gestionado de AWS para almacenar, versionar y compartir imágenes Docker. En este proyecto lo usamos para empujar nuestra imagen de aplicación y permitir que otra cuenta la pueda extraer y ejecutar.
Creación de la imagen Docker. Preparé un Dockerfile y un index.html en local. El Dockerfile define cómo construir la imagen a partir de una base y qué artefactos copiar, mientras que index.html es el contenido web que servirá el contenedor. Tras validar la build en local, creé un repositorio ECR para alojar las versiones.
Configurar acceso con AWS CLI. La CLI de AWS permite ejecutar comandos de ECR y otros servicios desde terminal. Cree un usuario IAM específico con la política AmazonEC2ContainerRegistryFullAccess y generé una clave de acceso y su secreto. Luego ejecuté aws configure e introduje Access Key ID, Secret Access Key, la región del repositorio y un formato de salida opcional. Esto habilita la autenticación desde la CLI sin depender de sesiones del navegador.
Publicar la imagen en ECR. Hay tres pasos esenciales: 1 autenticar Docker contra el registro de ECR, 2 etiquetar la imagen con la ruta del repositorio y 3 empujar la etiqueta al registro. Autenticación: aws ecr get-login-password --region REGION | docker login --username AWS --password-stdin ACCOUNT_ID.dkr.ecr.REGION.amazonaws.com. Construcción y etiquetado: docker build -t app-demo . y después docker tag app-demo:latest ACCOUNT_ID.dkr.ecr.REGION.amazonaws.com/REPO_NAME:latest. Publicación: docker push ACCOUNT_ID.dkr.ecr.REGION.amazonaws.com/REPO_NAME:latest. Etiqueté la versión como latest para que quién haga pull de latest obtenga el build más reciente.
Permisos y acceso entre cuentas. Al intentar hacer pull desde la otra cuenta, apareció un error 403 Forbidden porque el repositorio ECR es privado por defecto. Para resolverlo, añadimos una política de repositorio permitiendo a la entidad de la otra cuenta realizar acciones como ecr:BatchGetImage y ecr:GetDownloadUrlForLayer. Tras actualizar los permisos en ambas direcciones, el pull funcionó sin problemas. Recomendación clave: validar que el repositorio exista en la región donde se va a autenticar el consumidor y que la política incluya el ARN de la identidad que va a consumir las imágenes.
Tiempo estimado. La puesta en marcha completa, incluyendo creación de imagen, alta del repositorio, configuración de la CLI y ajuste de permisos entre cuentas, tomó aproximadamente una hora y media.
Lecciones aprendidas y buenas prácticas. 1 replicar el repositorio ECR en la región donde operan tus consumidores si necesitas autenticación local. 2 mantener una convención de etiquetas clara latest, semánticas o con hash de commit para trazabilidad. 3 usar políticas de repositorio mínimas necesarias y roles dedicados para intercambio entre cuentas. 4 automatizar con pipelines para evitar comandos manuales y asegurar repetibilidad.
En Q2BSTUDIO ayudamos a empresas a diseñar y operar plataformas de contenedores y servicios cloud aws y azure con foco en seguridad, rendimiento y costes. Si quieres una arquitectura preparada para CI CD, orquestación y observabilidad, descubre nuestros servicios cloud en AWS y Azure.
Además, nuestro equipo desarrolla aplicaciones a medida y software a medida, incorpora inteligencia artificial e ia para empresas con agentes IA, refuerza tu ciberseguridad, y potencia la analítica con servicios inteligencia de negocio y power bi. Si buscas acelerar la entrega con pipelines y flujos automatizados, revisa nuestra automatización de procesos para DevOps y MLOps.
Próximo paso. En el siguiente proyecto iniciaremos una serie de 7 días de DevOps: automatizaremos la publicación en ECR, el despliegue en ECS EKS y añadiremos controles de seguridad para fortalecer toda la cadena de suministro de software.