Security Hub-Steuerelemente für Amazon ECR - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon ECR

Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Container Registry (AmazonECR).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 RA-5

Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

Schweregrad: Hoch

Art der Ressource: AWS::ECR::Repository

AWS Config Regel: ecr-private-image-scanning-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Steuerung prüft, ob für ein privates ECR Amazon-Repository das Scannen von Bildern konfiguriert ist. Die Steuerung schlägt fehl, wenn das private ECR Repository nicht für Scan on Push oder kontinuierliches Scannen konfiguriert ist.

ECRDas Scannen von Bildern hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Die Konfiguration von Bildscans in ECR Repositorys bietet eine zusätzliche Überprüfungsebene für die Integrität und Sicherheit der gespeicherten Bilder.

Abhilfe

Informationen zur Konfiguration von Image-Scans für ein ECR Repository finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide.

[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-8 (1) NIST

Kategorie: Identifizieren > Inventar > Etikettieren

Schweregrad: Mittel

Art der Ressource: AWS::ECR::Repository

AWS Config Regel: ecr-private-tag-immutability-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob in einem privaten ECR Repository die Tag-Unveränderlichkeit aktiviert ist. Diese Kontrolle schlägt fehl, wenn in einem privaten ECR Repository die Tag-Unveränderlichkeit deaktiviert ist. Diese Regel gilt, wenn die Tag-Unveränderlichkeit aktiviert ist und den Wert hat. IMMUTABLE

Amazon ECR Tag Immutability ermöglicht es Kunden, sich auf die beschreibenden Tags eines Bildes als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Bildern zu verlassen. Ein unveränderliches Tag ist statisch, was bedeutet, dass sich jedes Tag auf ein einzigartiges Bild bezieht. Dies verbessert die Zuverlässigkeit und Skalierbarkeit, da die Verwendung eines statischen Tags immer dazu führt, dass dasselbe Image bereitgestellt wird. Wenn sie konfiguriert ist, verhindert die Unveränderlichkeit von Tags, dass die Tags überschrieben werden, wodurch die Angriffsfläche reduziert wird.

Abhilfe

Informationen zum Erstellen eines Repositorys mit konfigurierten unveränderlichen Tags oder zum Aktualisieren der Image-Tag-Mutabilitätseinstellungen für ein vorhandenes Repository finden Sie unter Image-Tag-Mutability im Amazon Elastic Container Registry-Benutzerhandbuch.

[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategorie: Identifizieren > Ressourcenkonfiguration

Schweregrad: Mittel

Art der Ressource: AWS::ECR::Repository

AWS Config Regel: ecr-private-lifecycle-policy-configured

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob für ein ECR Amazon-Repository mindestens eine Lebenszyklusrichtlinie konfiguriert ist. Diese Kontrolle schlägt fehl, wenn für ein ECR Repository keine Lebenszyklusrichtlinien konfiguriert sind.

Mit den ECR Lebenszyklusrichtlinien von Amazon können Sie das Lebenszyklusmanagement von Bildern in einem Repository spezifizieren. Durch die Konfiguration von Lebenszyklusrichtlinien können Sie die Bereinigung ungenutzter Bilder und das Verfallsdatum von Bildern je nach Alter oder Anzahl automatisieren. Durch die Automatisierung dieser Aufgaben können Sie verhindern, dass versehentlich veraltete Bilder in Ihrem Repository verwendet werden.

Abhilfe

Informationen zur Konfiguration einer Lifecycle-Richtlinie finden Sie unter Creating a Lifecycle Policy Preview im Amazon Elastic Container Registry User Guide.

[ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::ECR::PublicRepository

AWS Config Regel: tagged-ecr-publicrepository (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Stichwörter, die übereinstimmen AWS Anforderungen Kein Standardwert

Dieses Steuerelement prüft, ob ein ECR öffentliches Amazon-Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das öffentliche Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das öffentliche Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.

Abhilfe

Informationen zum Hinzufügen von Tags zu einem ECR öffentlichen Repository finden Sie unter Tagging an ein ECR öffentliches Amazon-Repository im Amazon Elastic Container Registry-Benutzerhandbuch.