Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon ECR
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Container Registry (AmazonECR).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 RA-5
Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ECR::Repository
AWS Config Regel: ecr-private-image-scanning-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Steuerung prüft, ob für ein privates ECR Amazon-Repository das Scannen von Bildern konfiguriert ist. Die Steuerung schlägt fehl, wenn das private ECR Repository nicht für Scan on Push oder kontinuierliches Scannen konfiguriert ist.
ECRDas Scannen von Bildern hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Die Konfiguration von Bildscans in ECR Repositorys bietet eine zusätzliche Überprüfungsebene für die Integrität und Sicherheit der gespeicherten Bilder.
Abhilfe
Informationen zur Konfiguration von Image-Scans für ein ECR Repository finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide.
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-8 (1) NIST
Kategorie: Identifizieren > Inventar > Etikettieren
Schweregrad: Mittel
Art der Ressource: AWS::ECR::Repository
AWS Config Regel: ecr-private-tag-immutability-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem privaten ECR Repository die Tag-Unveränderlichkeit aktiviert ist. Diese Kontrolle schlägt fehl, wenn in einem privaten ECR Repository die Tag-Unveränderlichkeit deaktiviert ist. Diese Regel gilt, wenn die Tag-Unveränderlichkeit aktiviert ist und den Wert hat. IMMUTABLE
Amazon ECR Tag Immutability ermöglicht es Kunden, sich auf die beschreibenden Tags eines Bildes als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Bildern zu verlassen. Ein unveränderliches Tag ist statisch, was bedeutet, dass sich jedes Tag auf ein einzigartiges Bild bezieht. Dies verbessert die Zuverlässigkeit und Skalierbarkeit, da die Verwendung eines statischen Tags immer dazu führt, dass dasselbe Image bereitgestellt wird. Wenn sie konfiguriert ist, verhindert die Unveränderlichkeit von Tags, dass die Tags überschrieben werden, wodurch die Angriffsfläche reduziert wird.
Abhilfe
Informationen zum Erstellen eines Repositorys mit konfigurierten unveränderlichen Tags oder zum Aktualisieren der Image-Tag-Mutabilitätseinstellungen für ein vorhandenes Repository finden Sie unter Image-Tag-Mutability im Amazon Elastic Container Registry-Benutzerhandbuch.
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::ECR::Repository
AWS Config Regel: ecr-private-lifecycle-policy-configured
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob für ein ECR Amazon-Repository mindestens eine Lebenszyklusrichtlinie konfiguriert ist. Diese Kontrolle schlägt fehl, wenn für ein ECR Repository keine Lebenszyklusrichtlinien konfiguriert sind.
Mit den ECR Lebenszyklusrichtlinien von Amazon können Sie das Lebenszyklusmanagement von Bildern in einem Repository spezifizieren. Durch die Konfiguration von Lebenszyklusrichtlinien können Sie die Bereinigung ungenutzter Bilder und das Verfallsdatum von Bildern je nach Alter oder Anzahl automatisieren. Durch die Automatisierung dieser Aufgaben können Sie verhindern, dass versehentlich veraltete Bilder in Ihrem Repository verwendet werden.
Abhilfe
Informationen zur Konfiguration einer Lifecycle-Richtlinie finden Sie unter Creating a Lifecycle Policy Preview im Amazon Elastic Container Registry User Guide.
[ECR.4] ECR Öffentliche Repositorien sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::ECR::PublicRepository
AWS Config Regel: tagged-ecr-publicrepository (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein ECR öffentliches Amazon-Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das öffentliche Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das öffentliche Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einem ECR öffentlichen Repository finden Sie unter Tagging an ein ECR öffentliches Amazon-Repository im Amazon Elastic Container Registry-Benutzerhandbuch.
