Amazon 彈性容器登錄控制 - AWS Security Hub
[ECR.1] ECR 私有存儲庫應配置圖像掃描[ECR.2] ECR 私有存儲庫應該配置標籤不變性[ECR.3] ECR 存儲庫應至少配置一個生命週期策略[ECR.4] 應標記ECR公共存儲庫

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 彈性容器登錄控制

這些控制項與 Amazon 資ECR源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[ECR.1] ECR 私有存儲庫應配置圖像掃描

相關要求:NIST

類別:識別 > 漏洞、修補程式和版本管理

嚴重性:

資源類型:AWS::ECR::Repository

AWS Config 規則:ecr-private-image-scanning-enabled

排程類型:定期

參數:

此控制項可檢查私有 Amazon ECR 儲存庫是否已設定映像掃描。如果私人ECR存放庫未設定為在推送或連續掃描時進行掃描,則控制項會失敗。

ECR圖像掃描有助於識別容器映像中的軟件漏洞。在儲存ECR庫上設定影像掃描會增加一層驗證,以確保所儲存影像的完整性和安全性。

修補

若要設定ECR儲存庫的映像掃描,請參閱 Amazon 彈性容器登錄使用者指南中的映像掃描。

[ECR.2] ECR 私有存儲庫應該配置標籤不變性

相關需求:五氯化碳 NIST -9 (1)、NIST .800-53.R5 公分機 NIST

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::ECR::Repository

AWS Config 規則:ecr-private-tag-immutability-enabled

排程類型:已觸發變更

參數:

此控件檢查私有ECR存儲庫是否啟用了標籤不變性。如果私有ECR存儲庫禁用了標籤不變性,則此控件將失敗。如果啟用標籤不變性且具有值,則此規則會通過。IMMUTABLE

Amazon ECR Tag 不變性可讓客戶依賴影像的描述性標籤,作為追蹤和唯一識別影像的可靠機制。不可變的標籤是靜態的,這意味著每個標籤都指向一個唯一的圖像。這提高了可靠性和可擴展性,因為使用靜態標籤將始終導致部署相同的映像。配置時,標籤不變性可防止標籤被覆蓋,從而減少了攻擊面。

修補

若要建立已設定不可變標籤的存放庫,或更新現有儲存庫的映像標籤可變性設定,請參閱 Amazon Elastic 容器登錄使用者指南中的映像標籤可變性

[ECR.3] ECR 存儲庫應至少配置一個生命週期策略

相關需求:五氯化碳 NIST -9 (1)、NIST .800-53.R5 公分機 NIST

類別:識別 > 資源配置

嚴重性:

資源類型:AWS::ECR::Repository

AWS Config 規則:ecr-private-lifecycle-policy-configured

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon ECR 儲存庫是否已設定至少一個生命週期政策。如果ECR存放庫未設定任何生命週期原則,則此控制項會失敗。

Amazon ECR 生命週期政策可讓您指定儲存庫中映像的生命週期管理。透過設定生命週期政策,您可以根據存留時間或計數,自動清理未使用的影像和映像到期。自動化這些工作可協助您避免無意中在儲存庫中使用過時的映像檔。

修補

若要設定生命週期政策,請參閱 Amazon 彈性容器登錄使用者指南中的建立生命週期政策預覽

[ECR.4] 應標記ECR公共存儲庫

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::ECR::PublicRepository

AWS Config 規則:tagged-ecr-publicrepository(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 Amazon ECR 公用儲存庫是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果公用儲存庫沒有任何標籤金鑰,或者沒有在參數中指定的所有金鑰,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,則控制項僅檢查標籤金鑰是否存在,如果未使用任何金鑰標記公用儲存庫,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤,它包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱有什麼ABAC用途 AWS?《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳做法,AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至ECR公用儲存庫,請參閱 Amazon 彈性容器登錄使用者指南中的標記 Amazon ECR 公用存庫。