翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon の Security Hub コントロール ECR
これらの Security Hub コントロールは、Amazon Elastic Container Registry (Amazon ECR) サービスとリソースを評価します。
これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性。
〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります
関連する要件: NIST.800-53.r5 RA-5
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 高
リソースタイプ : AWS::ECR::Repository
AWS Config ルール: ecr-private-image-scanning-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、プライベート Amazon ECRリポジトリにイメージスキャンが設定されているかどうかをチェックします。プライベートECRリポジトリがプッシュ時スキャンまたは連続スキャン用に設定されていない場合、コントロールは失敗します。
ECR イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを設定すると、保存されるイメージの整合性と安全性の検証レイヤーが追加されます。
修正
ECR リポジトリのイメージスキャンを設定するには、「Amazon Elastic Container Registry ユーザーガイド」の「イメージスキャン」を参照してください。
〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティを設定する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 中
リソースタイプ : AWS::ECR::Repository
AWS Config ルール: ecr-private-tag-immutability-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、プライベートECRリポジトリでタグのイミュータビリティが有効になっているかどうかをチェックします。プライベートECRリポジトリでタグのイミュータビリティが無効になっている場合、このコントロールは失敗します。このルールは、タグのイミュータビリティが有効で、かつ値が IMMUTABLE に設定されていると成功します。
Amazon ECR Tag Immutability を使用すると、イメージを追跡して一意に識別するための信頼性の高いメカニズムとして、イメージの記述タグに頼ることができます。イミュータブルなタグは静的です。つまり、各タグは一意のイメージを参照します。静的タグを使用すると、常に同じイメージがデプロイされるので、信頼性とスケーラビリティが向上します。設定すると、タグのイミュータビリティにより、タグが上書きされなくなり、アタックサーフェスが減少します。
修正
イミュータブル (変更不可能) なタグが設定されたリポジトリを作成する場合、または既存のリポジトリのイメージタグのイミュータビリティ (変更不可能性) を更新するには、Amazon Elastic Container Registry ユーザーガイドの「イメージタグの変更可能性」を参照してください。
〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ : AWS::ECR::Repository
AWS Config ルール: ecr-private-lifecycle-policy-configured
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon ECRリポジトリに少なくとも 1 つのライフサイクルポリシーが設定されているかどうかをチェックします。ECR リポジトリにライフサイクルポリシーが設定されていない場合、このコントロールは失敗します。
Amazon ECRライフサイクルポリシーを使用すると、リポジトリ内のイメージのライフサイクル管理を指定できます。ライフサイクルポリシーを設定することで、未使用イメージのクリーンアップと、年数またはカウントに基づいたイメージの有効期限を自動化することができます。これらのタスクを自動化することで、リポジトリで古いイメージを意図せずに使用することを回避できます。
修正
ライフサイクルポリシーを設定するには、「Amazon Elastic Container Registry ユーザーガイド」の「ライフサイクルポリシーのプレビューを作成する」を参照してください。
〔ECR.4] ECRパブリックリポジトリにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::ECR::PublicRepository
AWS Config ルール: tagged-ecr-publicrepository (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 | デフォルト値なし |
このコントロールは、Amazon ECRパブリックリポジトリにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。パブリックリポジトリにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、パブリックリポジトリにキーのタグが付けられていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
ECR パブリックリポジトリにタグを追加するには、「Amazon Elastic Container Registry ユーザーガイド」の「Amazon ECRパブリックリポジトリのタグ付け」を参照してください。
