目次

レジストリの追加または編集

Smart Check でイメージを検索する前に、どのレジストリに検索対象のイメージが含まれているかを把握する必要があります。 Deep Security Smart Checkには、1つ以上のレジストリ(体験版または基本ライセンスの場合は最大4つ)を追加できます。

レジストリを追加する前に

レジストリを追加する場合は、 Deep Security Smart Check がリポジトリへのアクセスに使用する認証資格情報を指定する必要があります。レジストリの種類に応じて、AWS資格情報、ユーザ名とパスワード、またはJSONキーファイルを指定できます。

Google Cloud Registryを使用している場合は、サービスアカウントを作成し、そのJSONキーファイルを使用します。サービスアカウントには、少なくとも Storage Object Viewer の役割、および Google Cloud Resource Manager APIGoogle Container Registry API の両方が必要です。有効にします。Googleでは、サービスアカウントを作成するための 概要 および 詳細な手順 を提供しています。

レジストリを追加する

  1. Smart Check 管理コンソールの左側で、Registries アイコンRegistriesをクリックします。
  2. [ + CREATE ]をクリックしてレジストリを追加します。
  3. [ Create Registry ]画面の[ Name ]フィールドに、レジストリを説明する名前を入力します。この名前は、必ずしも Docker レジストリの名前空間と一致する必要はありません。複数のレジストリを追加する場合は、この名前を使用して、 Smart Check 管理コンソールで名前を区別します。名前は短くても意味があり、256文字以内で指定する必要があります。
  4. [ Description ]フィールドに、レジストリの説明を入力します。これは、[Name] フィールドで許容されるよりも多くの情報を取得する必要がある場合に便利です。
  5. [ Registry Type ]フィールドで、追加するレジストリの種類を選択します。
    • Google Cloud Registry
    • Amazon Elastic Cloud Registry
    • 汎用レジストリ
  6. レジストリの詳細を追加します。
    • Google Cloud Registryの場合は、次のように入力します。
      • JSON key file: JSONキー。 Smart Check がリポジトリへのアクセスに使用します。
      • Registry Host: 検索する Docker レジストリのホスト名またはIPアドレス。
    • Amazon Elastic Container Registryの場合:
      • 認証方法としてAWS IAMアクセスキーID&シークレットを使用するには:
        • Region: レジストリが配置されているリージョンの AWSリージョン 識別子です。例:us-east-1
        • Registry ID: (オプション)別のアカウントのレジストリを検索する場合は、ここにアカウントIDを入力します。例:123456789012指定しない場合は、初期設定のレジストリが使用されます。
        • Access Key ID: AWSアクセスキーID。例: AKIAIOSFODNN7EXAMPLE
        • Secret Acess Key: AWS秘密アクセスキー。たとえば、 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
      • 認証方法としてインスタンスロールを使用するには
        • Region: レジストリが存在するリージョンの AWSリージョン 識別子。 us-east-1の例
        • Registry ID: (オプション)別のアカウントのレジストリを検索する場合は、ここにアカウントIDを入力します。例:123456789012指定しない場合は、初期設定のレジストリが使用されます。
      • 認証方法としてインスタンスロールを持つクロスアカウントロールを使用するには:
        • Region: レジストリが配置されているリージョンの AWSリージョン 識別子です。例:us-east-1
        • Registry ID: (オプション)別のアカウントのレジストリを検索する場合は、ここにアカウントIDを入力します。例:123456789012指定しない場合は、初期設定のレジストリが使用されます。
        • Role ARN: 役割のARN。例: arn:aws:iam::account-id:role/ecr-readonly-role
        • External ID: (オプション)クロスアカウントの役割を引き受ける場合に指定する外部ID。
        • Role Session Name: (オプション)クロスアカウントロールを引き受けるときに使用するセッション名。
      • AWS IAMアクセスキーID&シークレットを認証方法として使用してクロスアカウントロールを使用するには:
        • Region: レジストリが配置されているリージョンの AWSリージョン 識別子です。例:us-east-1
        • Registry ID: (オプション)別のアカウントのレジストリを検索する場合は、ここにアカウントIDを入力します。例:123456789012指定しない場合は、初期設定のレジストリが使用されます。
        • Role ARN: 役割のARN。例: arn:aws:iam::account-id:role/ecr-readonly-role
        • External ID: (オプション)クロスアカウントの役割を引き受ける場合に指定する外部ID。
        • Role Session Name: (オプション)クロスアカウントロールを引き受けるときに使用するセッション名。
        • Access Key ID: AWSアクセスキーID。例: AKIAIOSFODNN7EXAMPLE
        • Secret Acess Key: AWS秘密アクセスキー。たとえば、 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    • Generic Registryの場合は、次のように入力します。
      • ユーザID: レジストリへの認証に使用するユーザID。
      • パスワード: レジストリへの認証に使用するパスワード。
      • Registry Host: 検索する Docker レジストリのホスト名またはIPアドレス。例:us.gcr.io
    • JFrog Registryの場合は、次のように入力します。
      • ユーザID: レジストリへの認証に使用するユーザID。
      • パスワード: レジストリへの認証に使用するパスワード。
      • Registry Host: JFrogのホスト名またはIPアドレス、および Docker レジストリへのパス。例:{hostname}/artifactory/api/docker/{repository}リバースプロキシが設定されている場合は、 /artifactory パスを削除できます。例:{hostname}/api/docker/{repository}
  7. [Start scan when registry is created ]を選択した場合、[ Create Registry]をクリックするとすぐに検索が開始されます。
  8. [Perform scan periodically ]を選択した場合、 Smart Check は毎日UTC深夜0時に自動で検索を実行します。
  9. [ + ADD FILTER ]をクリックして、 <repository>/<image>:<tag>形式の完全修飾名の任意のセグメントに基づいてイメージを含めるか除外します。たとえば、includeフィルタ *latest*smartcheck/scan:latest および smartcheck/auth:latestに一致します。 * の初期設定のincludeフィルタでは、レジストリ内のすべてのイメージが選択されます。
  10. [ CREATE REGISTRY ]をクリックします。

レジストリを編集するには、 Registries ページに移動し、レジストリをクリックして、 編集アイコンをクリックします。

レジストリ内のイメージのリストを更新するには、 Registries ページに移動し、レジストリをクリックして、 同期アイコンをクリックします。