レジストリを準備する

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。

必要な追加ライセンス: Tenable Container Security

必要な Tenable Vulnerability Management ユーザーロール: スキャンオペレーター、標準、スキャンマネージャー、または管理者

Container Security Scanner を介して以下のレジストリをスキャンする前に、これらのレジストリを準備する必要があります。

• Amazon Web Service (AWS) Elastic Container Registry (ECR)
• Azure Registry
• Google Cloud Platform (GCP) Google Container Registry (GCR)

他の種類のレジストリは、スキャン前の準備は不要です。

Amazon Web Service (AWS) Elastic Container Registry (ECR)

お使いの AWS ECR に固有の設定を行う方法については、AWS のドキュメントを参照してください。

AWS ECR を準備する方法

1. AWS アクセスキーを取得します。

   注意: AWS アクセスキーは、アクセスキー ID とアクセス秘密鍵の 2 つで構成されます。アクセスキー ID はレジストリのユーザー名変数で、アクセス秘密鍵はレジストリのパスワード変数です。詳細は、Tenable Container Security Scanner 環境変数 を参照してください。

次の手順

• Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。

Azure Registry

お使いの Azure レジストリに固有の設定を行う方法については、Azure のドキュメントを参照してください。

Azure レジストリを準備する方法

1. お使いの Azure レジストリ用のサービスプリンシパルを作成し、サービスプリンシパルに AcrPull ロールを割り当てます。

次の手順

• Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。

Google Cloud Platform (GCP) Google Container Registry (GCR)

お使いの GCP GCR に固有の設定を行う方法については、Google Container Registry のドキュメントを参照してください。

GCP GCR を準備する方法

1. GCR で、Project Viewer ロールが付与されたサービスアカウントを作成します。

2. サービスアカウントキーを JSON ファイルとして作成してダウンロードすることにより、レジストリを認証します (次の例を参照)。

   コピー

   {
     "type": "service_account",
     "project_id": "my-gcp-lab",
     "private_key_id": "d21bbxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
     "private_key": "-----BEGIN PRIVATE KEY-----\nMIIEvAAAAAAAA\nBBBBBBBB\nCCCCCCCC\nDDDDDDDD\nEEEEEEEE\nFFFFFFFF\nGGGGGGGG==\n-----END PRIVATE KEY-----\n",
     "client_email": "[email protected]",
     "client_id": "111111111111111111111",
     "auth_uri": "https://accounts.google.com/o/oauth2/auth",
     "token_uri": "https://oauth2.googleapis.com/token",
     "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
     "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/cs-scanner%40dh-lab.iam.gserviceaccount.com"
   }

3. サービスアカウント JSON ファイルを、docker -v フラグを使用してパス /serviceAccount.json にマウントします。

   コピー

   docker run -e TENABLE_ACCESS_KEY=<redacted> \
     -e TENABLE_SECRET_KEY=<redacted> \
     -e IMPORT_REPO_NAME=<repo-name>
     -e REGISTRY_URI=https://gcr.io/<gcp-project-name> \
     -v <path-to-file>:/serviceAccount.json \
     -it tenableio-docker-consec-local.jfrog.io/cs-scanner:latest import-registry

次の手順

• Tenable Container Security Scanner を介してレジストリをスキャンするの説明に従って、リポジトリをスキャンします。