Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerelemente für Amazon ECR
Diese Security Hub CSPM-Kontrollen bewerten den Service und die Ressourcen des Amazon Elastic Container Registry (Amazon ECR).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
**Verwandte Anforderungen: NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3**, PCI DSS v4.0.1/6.2.4
**Kategorie**: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::ECR::Repository`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Dieses Steuerelement prüft, ob für ein privates Amazon ECR-Repository das Scannen von Bildern konfiguriert ist. Die Steuerung schlägt fehl, wenn das private ECR-Repository nicht für Scan on Push oder kontinuierliches Scannen konfiguriert ist.
Das Scannen von ECR-Bildern hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. Die Konfiguration von Bildscans in ECR-Repositorys bietet eine zusätzliche Überprüfungsebene für die Integrität und Sicherheit der gespeicherten Bilder.
### Abhilfe
Informationen zum Konfigurieren von Bildscans für ein ECR-Repository finden Sie unter [Scannen von Bildern](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) im *Amazon Elastic Container Registry User Guide*.
## [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)
**Kategorie**: Identifizieren > Inventar > Etikettieren
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::ECR::Repository`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob in einem privaten ECR-Repository die Tag-Unveränderlichkeit aktiviert ist. Diese Kontrolle schlägt fehl, wenn in einem privaten ECR-Repository die Tag-Unveränderlichkeit deaktiviert ist. Diese Regel gilt, wenn die Tag-Unveränderlichkeit aktiviert ist und den Wert hat. `IMMUTABLE`
Amazon ECR Tag Immutability ermöglicht es Kunden, sich auf die beschreibenden Tags eines Bildes als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Bildern zu verlassen. Ein unveränderliches Tag ist statisch, was bedeutet, dass sich jedes Tag auf ein eindeutiges Bild bezieht. Dies verbessert die Zuverlässigkeit und Skalierbarkeit, da die Verwendung eines statischen Tags immer dazu führt, dass dasselbe Image bereitgestellt wird. Wenn sie konfiguriert ist, verhindert die Unveränderlichkeit von Tags, dass die Tags überschrieben werden, wodurch die Angriffsfläche reduziert wird.
### Abhilfe
Informationen zum Erstellen eines Repositorys mit konfigurierten unveränderlichen Tags oder zum Aktualisieren der Image-Tag-Mutabilitätseinstellungen für ein vorhandenes Repository finden Sie unter [Image-Tag-Mutability](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) im *Amazon Elastic Container Registry User* Guide.
## [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Kategorie**: Identifizieren > Ressourcenkonfiguration
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::ECR::Repository`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob für ein Amazon ECR-Repository mindestens eine Lebenszyklusrichtlinie konfiguriert ist. Diese Kontrolle schlägt fehl, wenn für ein ECR-Repository keine Lebenszyklusrichtlinien konfiguriert sind.
Mit Amazon ECR-Lebenszyklusrichtlinien können Sie das Lebenszyklusmanagement von Images in einem Repository festlegen. Durch die Konfiguration von Lebenszyklusrichtlinien können Sie die Bereinigung ungenutzter Images und das Verfallsdatum von Images je nach Alter oder Anzahl automatisieren. Durch die Automatisierung dieser Aufgaben können Sie verhindern, dass versehentlich veraltete Bilder in Ihrem Repository verwendet werden.
### Abhilfe
Informationen zur Konfiguration einer Lifecycle-Richtlinie finden Sie unter [Creating a Lifecycle Policy Preview](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) im *Amazon Elastic Container Registry User Guide*.
## [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::ECR::PublicRepository`
**AWS Config Regel:** `tagged-ecr-publicrepository` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob ein öffentliches Amazon ECR-Repository Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das öffentliche Repository keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das öffentliche Repository mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einem öffentlichen ECR-Repository finden Sie unter [Tagging an ein öffentliches Amazon ECR-Repository](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) im *Amazon Elastic Container Registry-Benutzerhandbuch*.
## [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys
**Verwandte Anforderungen:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::ECR::Repository`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Eine Liste von Amazon-Ressourcennamen (ARNs) AWS KMS keys , die in die Bewertung aufgenommen werden sollen. Das Steuerelement generiert einen `FAILED` Befund, wenn ein ECR-Repository nicht mit einem KMS-Schlüssel in der Liste verschlüsselt ist. | StringList (maximal 10 Elemente) | 1—10 ARNs der vorhandenen KMS-Schlüssel. Beispiel: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | Kein Standardwert |
Diese Kontrolle prüft, ob ein Amazon ECR-Repository im Ruhezustand verschlüsselt ist und von einem Kunden verwaltet AWS KMS key wird. Die Kontrolle schlägt fehl, wenn das ECR-Repository nicht mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist. Sie können optional eine Liste von KMS-Schlüsseln angeben, die das Steuerelement in die Bewertung einbeziehen soll.
Standardmäßig verschlüsselt Amazon ECR Repository-Daten mit Amazon S3 S3-verwalteten Schlüsseln (SSE-S3) unter Verwendung eines AES-256-Algorithmus. Für zusätzliche Kontrolle können Sie Amazon ECR so konfigurieren, dass die Daten stattdessen mit einem AWS KMS key (SSE-KMS oder DSSE-KMS) verschlüsselt werden. Der KMS-Schlüssel kann sein: ein Von AWS verwalteter Schlüssel , den Amazon ECR für Sie erstellt und verwaltet und der den Alias hat`aws/ecr`, oder ein vom Kunden verwalteter Schlüssel, den Sie in Ihrem AWS-Konto erstellen und verwalten. Mit einem vom Kunden verwalteten KMS-Schlüssel haben Sie die volle Kontrolle über den Schlüssel. Dazu gehören die Definition und Pflege der Schlüsselrichtlinie, die Verwaltung von Zuschüssen, die Rotation von kryptografischem Material, die Zuweisung von Tags, die Erstellung von Aliasnamen sowie die Aktivierung und Deaktivierung des Schlüssels.
**Anmerkung**
AWS KMS unterstützt den kontoübergreifenden Zugriff auf KMS-Schlüssel. Wenn ein ECR-Repository mit einem KMS-Schlüssel verschlüsselt ist, der einem anderen Konto gehört, führt dieses Steuerelement bei der Auswertung des Repositorys keine kontoübergreifenden Prüfungen durch. Die Kontrolle bewertet nicht, ob Amazon ECR auf den Schlüssel zugreifen und ihn verwenden kann, wenn kryptografische Operationen für das Repository ausgeführt werden.
### Abhilfe
Sie können die Verschlüsselungseinstellungen für ein vorhandenes ECR-Repository nicht ändern. Sie können jedoch andere Verschlüsselungseinstellungen für ECR-Repositorys angeben, die Sie anschließend erstellen. Amazon ECR unterstützt die Verwendung verschiedener Verschlüsselungseinstellungen für einzelne Repositorys.
Weitere Informationen zu Verschlüsselungsoptionen für ECR-Repositorys finden Sie unter [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) im *Amazon ECR-Benutzerhandbuch.* *Weitere Informationen zu „Customer Managed AWS KMS keys“ finden Sie [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)im Developer Guide.AWS Key Management Service *