イメージを Tenable Container Security にインポートするための AWS ECR コネクタを設定する
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。
必要な追加ライセンス: Tenable Container Security
必要なユーザーロール: 管理者
Amazon Web Service (AWS) Elastic Container Registry (ECR) でホストされているイメージをインポートして分析するには、AWS ECR コネクタを設定する必要があります。その後、Tenable Container Security がレジストリからイメージをインポートし、イメージの脆弱性をスキャンします。
Tenable Container Security がレジストリ内のイメージをスキャンして結果を表示するのにかかる時間は、スキャンするイメージの大きさと数によって異なります。
注意: コネクタを使用してイメージをインポートしてスキャンすると、Tenable Container Security のダッシュボードにイメージが表示されるまでに最大で数時間かかる場合があります。
インポートを開始してから 24 時間経ってもイメージがダッシュボードに表示されない場合は、Tenable サポート にお問い合わせください。
始める前に
- Docker CLI を介して Tenable Container Security にログインするの説明に従って、アカウントをアクティブ化して Tenable Container Security にログインします。
- インポートするイメージが、自社のコンテナレジストリに保存されていることを確認します。
AWS Elastic Container Registry に接続するコネクタを設定する方法
-
[コンテナのセキュリティ] ダッシュボードの [コネクタ] セクションで、[作成] をクリックします。
Tenable Vulnerability Management で [クラウド コネクタ] ページが開き、[クラウドコネクタ] プレーンが表示されます。
- [コンテナのセキュリティ] セクションで、[AWS Elastic コンテナレジストリ] をクリックします。
- [URL] ボックスに、ECR デプロイメントの完全修飾ドメイン名を入力します (例:
https://579133718396.dkr.ecr.us-east-2.amazonaws.com
)。 - [ユーザー名] ボックスに[AWS] と入力します。
-
[パスワード] ボックスに、AWS CLI で生成された
docker login
コマンドで使用された、Base 64 エンコードのパスワードを入力します。ヒント: お使いの ECR が us-east-2 リージョンにある場合は、
aws ecr get-login-password --region us-east-2
コマンドを実行してdocker login
コマンドを取得できます。 -
次のいずれかを行います。
-
コネクタを保存するには、[保存] をクリックします。
注意: [保存] をクリックした場合、Tenable Container Security は設定済みのコネクタを保存しますが、資産のインポートは行いません。コネクタの手動インポートを起動するには、コネクタインポートの手動起動を参照してください。
-
コネクタを保存してレジストリから資産をインポートするには、[保存してインポート] をクリックします。
注意: コンテナイメージをインポートしてスキャンして、そのスキャンの実行時間が 60 分に達した場合、Tenable Container Security はスキャンを中止する場合があります。この状況が発生すると、[イメージ] ページの [脆弱性] と [マルウェア] 列の中止されたイメージに [スキャン失敗] が表示されます。
Tenable Container Security によってスキャンが中止された場合は、Docker のドキュメントの説明に従って、イメージをインポートする前にイメージを簡略化してみてください。別な方法として、Tenable Container Security Scanner を使用すると、イメージを Tenable Container Security にインポートせずにスキャンできます。
Tenable Container Security がスキャンを中止し続ける場合は、Tenable サポート にお問い合わせください。
-
- (オプション) [戻る] をクリックして、別のコネクタを設定します。
次の手順
- コンテナイメージのスキャン結果を表示するの説明に従って、スキャン結果を表示します。