Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ces contrôles Security Hub évaluent le service et les ressources Amazon Elastic Container Registry (Amazon ECR).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
Exigences connexes : PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Élevée
Type de ressource : AWS::ECR::Repository
Règle AWS Config : ecr-private-image-scanning-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la numérisation d'images est configurée dans un référentiel Amazon ECR privé. Le contrôle échoue si le référentiel ECR privé n'est pas configuré pour le scan sur push ou le scan continu.
La numérisation d'images ECR permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. La configuration de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
Correction
Pour configurer la numérisation d'images pour un référentiel ECR, consultez la section Numérisation d'images dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Moyenne
Type de ressource : AWS::ECR::Repository
Règle AWS Config : ecr-private-tag-immutability-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'immuabilité des balises est activée dans un référentiel ECR privé. Ce contrôle échoue si l'immuabilité des balises est désactivée dans un référentiel ECR privé. Cette règle est acceptée si l'immuabilité des balises est activée et possède la valeur. IMMUTABLE
Amazon ECR Tag Immutability permet aux clients de s'appuyer sur les balises descriptives d'une image en tant que mécanisme fiable pour suivre et identifier les images de manière unique. Une balise immuable est statique, ce qui signifie que chaque balise fait référence à une image unique. Cela améliore la fiabilité et l'évolutivité, car l'utilisation d'une balise statique entraîne toujours le déploiement de la même image. Lorsqu'elle est configurée, l'immuabilité des balises empêche le remplacement des balises, ce qui réduit la surface d'attaque.
Correction
Pour créer un référentiel avec des balises immuables configurées ou pour mettre à jour les paramètres de mutabilité des balises d'image pour un référentiel existant, consultez la section Mutabilité des balises d'image dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::ECR::Repository
Règle AWS Config : ecr-private-lifecycle-policy-configured
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si au moins une politique de cycle de vie est configurée dans un référentiel Amazon ECR. Ce contrôle échoue si aucune politique de cycle de vie n'est configurée dans un référentiel ECR.
Les politiques de cycle de vie Amazon ECR vous permettent de préciser la gestion du cycle de vie des images dans un référentiel. En configurant des politiques de cycle de vie, vous pouvez automatiser le nettoyage des images inutilisées et l'expiration des images en fonction de leur âge ou de leur nombre. L'automatisation de ces tâches peut vous aider à éviter d'utiliser involontairement des images obsolètes dans votre référentiel.
Correction
Pour configurer une politique de cycle de vie, consultez la section Création d'une version préliminaire de la politique de cycle de vie dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
[ECR.4] Les référentiels publics ECR doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::ECR::PublicRepository
AWS Config règle : tagged-ecr-publicrepository (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel public Amazon ECR possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le référentiel public ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le référentiel public n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un référentiel public ECR, consultez la section Marquage d'un référentiel public Amazon ECR dans le guide de l'utilisateur d'Amazon Elastic Container Registry.
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys
Exigences connexes : NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::ECR::Repository
Règle AWS Config : ecr-repository-cmk-encryption-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer |
StringList (maximum de 10 articles) |
1 à 10 ARNs des clés KMS existantes. Par exemple : |
Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel Amazon ECR est chiffré au repos et qu'il est géré AWS KMS key par un client. Le contrôle échoue si le référentiel ECR n'est pas chiffré avec une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Par défaut, Amazon ECR chiffre les données du référentiel à l'aide des clés gérées par Amazon S3 (SSE-S3), à l'aide d'un algorithme AES-256. Pour un contrôle supplémentaire, vous pouvez configurer Amazon ECR pour crypter les données à l'aide d'un AWS KMS key (SSE-KMS ou DSSE-KMS) à la place. La clé KMS peut être : une clé Clé gérée par AWS qu'Amazon ECR crée et gère pour vous et qui possède un aliasaws/ecr, ou une clé gérée par le client que vous créez et gérez dans votre Compte AWS. Avec une clé KMS gérée par le client, vous avez le contrôle total de la clé. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé.
Note
AWS KMS prend en charge l'accès aux clés KMS entre comptes. Si un référentiel ECR est chiffré à l'aide d'une clé KMS appartenant à un autre compte, ce contrôle n'effectue pas de vérifications entre comptes lors de l'évaluation du référentiel. Le contrôle n'évalue pas si Amazon ECR peut accéder à la clé et l'utiliser lors d'opérations cryptographiques pour le référentiel.
Correction
Vous ne pouvez pas modifier les paramètres de chiffrement d'un référentiel ECR existant. Toutefois, vous pouvez définir différents paramètres de chiffrement pour les référentiels ECR que vous créerez ultérieurement. Amazon ECR prend en charge l'utilisation de différents paramètres de chiffrement pour les référentiels individuels.
Pour plus d'informations sur les options de chiffrement pour les référentiels ECR, consultez Encryption at rest dans le guide de l'utilisateur Amazon ECR. Pour plus d'informations sur la gestion par le client AWS KMS keys, consultez AWS KMS keysle guide du AWS Key Management Service développeur.
