本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon ECR 的 Security Hub CSPM 控制項
這些 Security Hub CSPM 控制項會評估 Amazon Elastic Container Registry (Amazon ECR) 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【ECR.1】 ECR 私有儲存庫應設定映像掃描
**相關要求:**NIST.800-53.r5 RA-5、PCI DSS v4.0.1/6.2.3、PCI DSS v4.0.1/6.2.4
**類別:**識別 > 漏洞、修補程式和版本管理
**嚴重性:**高
**資源類型:** `AWS::ECR::Repository`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查私有 Amazon ECR 儲存庫是否已設定映像掃描。如果私有 ECR 儲存庫未設定為在推送或連續掃描時掃描,則控制項會失敗。
ECR 映像掃描有助於識別容器映像中的軟體漏洞。在 ECR 儲存庫上設定映像掃描會新增一層驗證,以確保所存放映像的完整性和安全性。
### 修補
若要設定 ECR 儲存庫的影像掃描,請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[影像掃描](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html)。
## 【ECR.2】 ECR 私有儲存庫應設定標籤不可變性
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)
**類別:**識別 > 庫存 > 標記
**嚴重性:**中
**資源類型:** `AWS::ECR::Repository`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查私有 ECR 儲存庫是否已啟用標籤不可變性。如果私有 ECR 儲存庫已停用標籤不可變性,則此控制項會失敗。如果標籤不可變性已啟用且值為 ,則此規則會通過`IMMUTABLE`。
Amazon ECR 標籤抗擾性可讓客戶依賴影像的描述性標籤作為追蹤和唯一識別影像的可靠機制。不可變標籤是靜態的,這表示每個標籤都是指唯一的影像。這可改善可靠性和可擴展性,因為使用靜態標籤一律會導致部署相同的映像。設定時,標籤不可變性可防止標籤遭到覆寫,從而減少攻擊面。
### 修補
若要建立已設定不可變標籤的儲存庫,或更新現有儲存庫的影像標籤可變性設定,請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[影像標籤可變性](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html)。
## 【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
**類別:**識別 > 資源組態
**嚴重性:**中
**資源類型:** `AWS::ECR::Repository`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon ECR 儲存庫是否已設定至少一個生命週期政策。如果 ECR 儲存庫未設定任何生命週期政策,則此控制會失敗。
Amazon ECR 生命週期政策可讓您指定儲存庫中映像的生命週期管理。透過設定生命週期政策,您可以根據存留期或計數自動清除未使用的映像和映像過期。自動化這些任務可協助您避免意外使用儲存庫中過時的映像。
### 修補
若要設定生命週期政策,請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[建立生命週期政策預覽](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html)。
## 【ECR.4】 ECR 公有儲存庫應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::ECR::PublicRepository`
**AWS Config rule:**`tagged-ecr-publicrepository`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 Amazon ECR 公有儲存庫是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果公有儲存庫沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果公有儲存庫未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 ECR 公有儲存庫,請參閱《[Amazon Elastic Container Registry 使用者指南》中的標記 Amazon ECR 公有儲存](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html)庫。 **
## 【ECR.5】 ECR 儲存庫應使用客戶受管加密 AWS KMS keys
**相關要求:**NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::ECR::Repository`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | AWS KMS keys 要包含在評估中的 Amazon Resource Name (ARNs清單。如果 ECR 儲存庫未在清單中使用 KMS 金鑰加密,則控制項會產生`FAILED`問題清單。 | StringList (最多 10 個項目) | 現有 KMS 金鑰的 1–10 ARNs。例如:`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | 無預設值 |
此控制項會檢查 Amazon ECR 儲存庫是否使用客戶受管的靜態加密 AWS KMS key。如果未使用客戶受管 KMS 金鑰加密 ECR 儲存庫,則控制項會失敗。您可以選擇性地為控制項指定要包含在評估中的 KMS 金鑰清單。
根據預設,Amazon ECR 會使用 AES-256 演算法,使用 Amazon S3 受管金鑰 (SSE-S3) 加密儲存庫資料。如需其他控制,您可以設定 Amazon ECR 改用 AWS KMS key (SSE-KMS 或 DSSE-KMS) 來加密資料。KMS 金鑰可以是:Amazon ECR 為您建立和管理 AWS 受管金鑰 的 ,並具有別名 `aws/ecr`,或您在 中建立和管理的客戶受管金鑰 AWS 帳戶。使用客戶受管 KMS 金鑰,您可以完全控制金鑰。這包括定義和維護金鑰政策、管理授予、輪換密碼編譯材料、指派標籤、建立別名,以及啟用和停用金鑰。
**注意**
AWS KMS 支援跨帳戶存取 KMS 金鑰。如果 ECR 儲存庫使用另一個帳戶擁有的 KMS 金鑰加密,則此控制項不會在評估儲存庫時執行跨帳戶檢查。控制項不會評估 Amazon ECR 在為儲存庫執行密碼編譯操作時是否可以存取和使用金鑰。
### 修補
您無法變更現有 ECR 儲存庫的加密設定。不過,您可以為後續建立的 ECR 儲存庫指定不同的加密設定。Amazon ECR 支援對個別儲存庫使用不同的加密設定。
如需 ECR 儲存庫加密選項的詳細資訊,請參閱《*Amazon ECR 使用者指南*》中的[靜態加密](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html)。如需客戶受管的詳細資訊 AWS KMS keys,請參閱《 *AWS Key Management Service 開發人員指南*[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)》中的 。