本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Elastic Container Registry 控件
这些控件与 Amazon ECR 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[ECR.1] ECR 私有存储库应配置图像扫描
相关要求:NIST.800-53.r5 RA-5。
类别:识别 > 漏洞、补丁和版本管理
严重性:高
资源类型:AWS::ECR::Repository
Amazon Config 规则:ecr-private-image-scanning-enabled
计划类型:定期
参数:无
此控件检查私有 Amazon ECR 存储库是否配置了图像扫描。如果未将私有 ECR 存储库配置为推送时扫描或连续扫描,则控制失败。
ECR 映像扫描有助于识别容器映像中的软件漏洞。在 ECR 存储库上配置图像扫描为所存储图像的完整性和安全性添加了一层验证。
修复
要为 ECR 存储库配置图像扫描,请参阅 Amazon Elastic Container Registry 用户指南中的图像扫描。
[ECR.2] ECR 私有存储库应配置标签不可变性
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)。
类别:识别 > 清单 > 标记
严重性:中
资源类型:AWS::ECR::Repository
Amazon Config 规则:ecr-private-tag-immutability-enabled
计划类型:已触发变更
参数:无
此控件检查私有 ECR 存储库是否启用了标签不可变性。如果私有 ECR 存储库禁用了标签不可变性,则此控制失败。如果启用了标签不可变性并且具有值 IMMUTABLE
,则此规则通过。
Amazon ECR 标签不变性使客户能够依靠图像的描述性标签作为跟踪和唯一识别图像的可靠机制。不可变标签是静态的,这意味着每个标签都引用一个唯一的图像。这提高了可靠性和可扩展性,因为使用静态标签总是会导致部署相同的映像。配置后,标签不变性可防止标签被覆盖,从而减少攻击面。
修复
要创建配置了不可变标签的存储库或更新现有存储库的图像标签可变性设置,请参阅 Amazon Elastic Container Registry 用户指南中的图像标签可变性。
[ECR.3] ECR 存储库应至少配置一个生命周期策略
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。
类别:识别 > 资源配置
严重性:中
资源类型:AWS::ECR::Repository
Amazon Config 规则:ecr-private-lifecycle-policy-configured
计划类型:已触发变更
参数:无
此控件检查 Amazon ECR 存储库是否至少配置了一个生命定期策略。如果 ECR 存储库未配置任何生命定期策略,则此控制失败。
Amazon ECR 生命周期策略使您能够指定存储库中镜像的生命周期管理。通过配置生命周期策略,您可以根据年龄或数量自动清理未使用的映像以及到期的映像。自动执行这些任务可以帮助您避免无意中使用存储库中过时的映像。
修复
要配置生命周期策略,请参阅 Amazon Elastic Container Registry 用户指南中的创建生命周期策略预览。
[ECR.4] 应标记 ECR 公共存储库
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::ECR::PublicRepository
Amazon Config 规则:tagged-ecr-publicrepository
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 | 无默认值 |
此控件检查 Amazon ECR 公共存储库是否具有参数requiredTagKeys
中定义的特定密钥的标签。如果公共存储库没有任何标签密钥或者没有参数中指定的所有密钥,则控件将失败requiredTagKeys
。如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果公共存储库未使用任何密钥进行标记,则该控件将失败。系统标签会自动应用并以其开头aws:
,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 ECR 公共存储库添加标签,请参阅《亚马逊弹性容器注册表用户指南》中的 “为 Ama zon ECR 公共存储库添加标签”。