レジストリを準備する
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。
必要な追加ライセンス: Tenable Container Security
必要な Tenable Vulnerability Management ユーザーロール: スキャンオペレーター、標準、スキャンマネージャー、または管理者
Container Security Scanner を介して以下のレジストリをスキャンする前に、これらのレジストリを準備する必要があります。
- Amazon Web Service (AWS) Elastic Container Registry (ECR)
- Azure Registry
- Google Cloud Platform (GCP) Google Container Registry (GCR)
他の種類のレジストリは、スキャン前の準備は不要です。
Amazon Web Service (AWS) Elastic Container Registry (ECR)
お使いの AWS ECR に固有の設定を行う方法については、AWS のドキュメントを参照してください。
AWS ECR を準備する方法
-
AWS アクセスキーを取得します。
注意: AWS アクセスキーは、アクセスキー ID とアクセス秘密鍵の 2 つで構成されます。アクセスキー ID はレジストリのユーザー名変数で、アクセス秘密鍵はレジストリのパスワード変数です。詳細は、Tenable Container Security Scanner 環境変数 を参照してください。
次の手順
- Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。
お使いの Azure レジストリに固有の設定を行う方法については、Azure のドキュメントを参照してください。
Azure レジストリを準備する方法
-
お使いの Azure レジストリ用のサービスプリンシパルを作成し、サービスプリンシパルに AcrPull ロールを割り当てます。
次の手順
- Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。
Google Cloud Platform (GCP) Google Container Registry (GCR)
お使いの GCP GCR に固有の設定を行う方法については、Google Container Registry のドキュメントを参照してください。
GCP GCR を準備する方法
- GCR で、Project Viewer ロールが付与されたサービスアカウントを作成します。
-
サービスアカウントキーを JSON ファイルとして作成してダウンロードすることにより、レジストリを認証します (次の例を参照)。
コピー{
"type": "service_account",
"project_id": "my-gcp-lab",
"private_key_id": "d21bbxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"private_key": "-----BEGIN PRIVATE KEY-----\nMIIEvAAAAAAAA\nBBBBBBBB\nCCCCCCCC\nDDDDDDDD\nEEEEEEEE\nFFFFFFFF\nGGGGGGGG==\n-----END PRIVATE KEY-----\n",
"client_email": "[email protected]",
"client_id": "111111111111111111111",
"auth_uri": "https://accounts.google.com/o/oauth2/auth",
"token_uri": "https://oauth2.googleapis.com/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/cs-scanner%40dh-lab.iam.gserviceaccount.com"
} -
サービスアカウント JSON ファイルを、docker -v フラグを使用してパス /serviceAccount.json にマウントします。
コピーdocker run -e TENABLE_ACCESS_KEY=<redacted> \
-e TENABLE_SECRET_KEY=<redacted> \
-e IMPORT_REPO_NAME=<repo-name>
-e REGISTRY_URI=https://gcr.io/<gcp-project-name> \
-v <path-to-file>:/serviceAccount.json \
-it tenableio-docker-consec-local.jfrog.io/cs-scanner:latest import-registry
次の手順
- Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。