适用于亚马逊的 Security Hub 控件 ECR - AWS Security Hub
[ECR.1] ECR 私有仓库应配置图像扫描[ECR.2] ECR 私有仓库应配置标签不可变性[ECR.3] ECR 存储库应至少配置一个生命周期策略[ECR.4] 应ECR标记公共存储库

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊的 Security Hub 控件 ECR

这些 Security Hub 控件用于评估亚马逊弹性容器注册表 (AmazonECR) 服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性

[ECR.1] ECR 私有仓库应配置图像扫描

相关要求: NIST.800-53.r5 RA-5

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::ECR::Repository

AWS Config 规则:ecr-private-image-scanning-enabled

计划类型:定期

参数:

此控件检查私有 Amazon ECR 存储库是否配置了图像扫描。如果未将私有ECR存储库配置为推送时扫描或连续扫描,则控制失败。

ECR图像扫描有助于识别容器映像中的软件漏洞。在ECR存储库上配置图像扫描可为所存储图像的完整性和安全性增加一层验证。

修复

要为ECR存储库配置图像扫描,请参阅 Amazon Elastic Container Registry 用户指南中的图像扫描。

[ECR.2] ECR 私有仓库应配置标签不可变性

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-8 (1) NIST

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::ECR::Repository

AWS Config 规则:ecr-private-tag-immutability-enabled

计划类型:已触发变更

参数:

此控件检查私有ECR仓库是否启用了标签不可变性。如果私有ECR仓库禁用了标签不可变性,则此控件将失败。如果启用了标签不可变性并且具有值 IMMUTABLE,则此规则通过。

Amazon ECR Tag Immutability 使客户能够依靠图片的描述性标签作为跟踪和唯一识别图片的可靠机制。不可变标签是静态的,这意味着每个标签都引用一个唯一的图像。这提高了可靠性和可扩展性,因为使用静态标签总是会导致部署相同的映像。配置后,标签不变性可防止标签被覆盖,从而减少攻击面。

修复

要创建配置了不可变标签的存储库或更新现有存储库的图像标签可变性设置,请参阅 Amazon Elastic Container Registry 用户指南中的图像标签可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST

类别:识别 > 资源配置

严重性:

资源类型:AWS::ECR::Repository

AWS Config 规则:ecr-private-lifecycle-policy-configured

计划类型:已触发变更

参数:

此控件检查 Amazon ECR 存储库是否至少配置了一个生命周期策略。如果ECR存储库未配置任何生命周期策略,则此控制将失败。

Amazon ECR 生命周期策略允许您指定存储库中图像的生命周期管理。通过配置生命周期策略,您可以根据年龄或数量自动清理未使用的映像以及到期的映像。自动执行这些任务可以帮助您避免无意中使用存储库中过时的映像。

修复

要配置生命周期策略,请参阅 Amazon Elastic Container Registry 用户指南中的创建生命周期策略预览

[ECR.4] 应ECR标记公共存储库

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::ECR::PublicRepository

AWS Config 规则:tagged-ecr-publicrepository(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 StringList 符合条件的标签列表 AWS 要求 无默认值

此控件会检查 Amazon ECR 公共存储库是否具有参数中定义的特定密钥的标签requiredTagKeys。如果公共存储库没有任何标签密钥或者没有参数中指定的所有密钥,则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果公共存储库未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。

标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.

修复

要向ECR公共仓库添加标签,请参阅《亚马逊弹性容器注册表用户指南》中的 “为亚马逊ECR公共仓库添加标签”。