Amazon Elastic Container Registry のコントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Container Registry のコントロール

これらのコントロールは Amazon ECR リソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

関連する要件: NIST.800-53.r5 RA-5

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ: AWS::ECR::Repository

AWS Config ルール: ecr-private-image-scanning-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、プライベート Amazon ECR リポジトリでイメージスキャニングが設定されているかどうかをチェックします。プライベート ECR リポジトリがプッシュ時スキャンまたは連続スキャン用に設定されていない場合、コントロールは失敗します。

ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを設定すると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。

修正

ECR リポジトリのイメージスキャニングを設定する方法については、「Amazon Elastic Container Registry User Guide」(Amazon Elastic Container Registry ユーザーガイド) の「Image scanning」(イメージスキャニング) を参照してください。

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ: AWS::ECR::Repository

AWS Config ルール : ecr-private-tag-immutability-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、プライベート ECR リポジトリでタグのイミュータビリティが有効になっているかどうかをチェックします。プライベート ECR リポジトリでタグのイミュータビリティが無効になっていると、このコントロールは失敗します。このルールは、タグのイミュータビリティが有効で、かつ値が IMMUTABLE に設定されていると成功します。

Amazon ECR のタグのイミュータビリティにより、ユーザーは、イメージの説明タグを信頼性の高いメカニズムとして使用し、イメージを追跡して一意に識別することができます。イミュータブルなタグは静的です。つまり、各タグは一意のイメージを参照します。静的タグを使用すると、常に同じイメージがデプロイされるので、信頼性とスケーラビリティが向上します。設定すると、タグのイミュータビリティにより、タグが上書きされなくなり、アタックサーフェスが減少します。

修正

イミュータブル (変更不可能) なタグが設定されたリポジトリを作成する場合、または既存のリポジトリのイメージタグのイミュータビリティ (変更不可能性) を更新するには、Amazon Elastic Container Registry ユーザーガイドの「イメージタグの変更可能性」を参照してください。

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > リソース設定

重要度:

リソースタイプ: AWS::ECR::Repository

AWS Config ルール : ecr-private-lifecycle-policy-configured

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon ECR リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されているかどうかをチェックします。ECR リポジトリにライフサイクルポリシーが設定されていない場合、このコントロールは失敗します。

Amazon ECR ライフサイクルポリシーを使用すると、リポジトリ内のイメージのライフサイクル管理を有効にすることができます。ライフサイクルポリシーを設定することで、未使用イメージのクリーンアップと、年数またはカウントに基づいたイメージの有効期限を自動化することができます。これらのタスクを自動化することで、リポジトリで古いイメージを意図せずに使用することを回避できます。

修正

ライフサイクルポリシーを設定するには、「Amazon Elastic Container Registry ユーザーガイド」の「ライフサイクルポリシーのプレビューを作成する」を参照してください。

[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ: AWS::ECR::PublicRepository

AWS Config ルール: tagged-ecr-publicrepository (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon ECR パブリックリポジトリに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。パブリックリポジトリにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、パブリックリポジトリにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

ECR パブリックリポジトリにタグを追加するには、「Amazon Elastic Container Registry ユーザーガイド」の「Amazon ECR パブリックリポジトリのタグ付け」を参照してください。