すべてのプロダクト
Search

このプロダクト

    Security Center:セキュリティセンターにイメージリポジトリを追加する

    ドキュメントセンター

    Security Center:セキュリティセンターにイメージリポジトリを追加する

    最終更新日:Apr 12, 2025

    セキュリティセンターを使用してイメージをスキャンする前に、セキュリティセンターにイメージリポジトリを追加する必要があります。このトピックでは、セキュリティセンターにイメージリポジトリを追加する方法について説明します。

    制限

    セキュリティセンターには、次のタイプのイメージリポジトリを追加できます。

    • Container Registry Enterprise Edition および Container Registry Personal Edition のイメージリポジトリ。

      これらのイメージリポジトリにあるイメージに関する情報をセキュリティセンターに同期できます。セキュリティセンターは Container Registry Enterprise Edition のイメージのみをスキャンできます。

    • サードパーティ製イメージリポジトリ:Harbor、Quay、および GitLab リポジトリ。

    前提条件

    コンテナイメージスキャン機能が有効になっています。

    Container Registry のイメージリポジトリをセキュリティセンターに追加する

    Container Registry Personal Edition を使用している場合は、インスタンスを作成した後に、Container Registry Personal Edition インスタンスのイメージリポジトリをセキュリティセンターに追加できます。 Container Registry Enterprise Edition を使用している場合は、インスタンスの仮想プライベートクラウド(VPC)アクセス制御リスト(ACL)を構成した後にのみ、Container Registry Enterprise Edition インスタンスのイメージリポジトリをセキュリティセンターに追加できます。詳細については、「VPC ACL を構成する」をご参照ください。

    Container Registry Enterprise Edition および Container Registry Personal Edition のイメージリポジトリにあるイメージに関する情報を同期するには、次のいずれかの方法を使用できます。

    サードパーティ製イメージリポジトリをセキュリティセンターに追加する

    イメージリポジトリのアクセス制御ポリシーを作成する場合は、アクセス制御ポリシーで、イメージリポジトリが存在するリージョンの IP アドレスプールからのアクセスが許可されていることを確認してください。

    アクセスを許可する必要がある IP アドレスプールを表示する

    リージョン

    パブリック IP アドレス

    プライベート IP アドレス

    中国 (杭州)

    47.96.166.214

    100.104.12.64/26

    中国 (上海)

    139.224.15.48、101.132.180.26、47.100.18.171、47.100.0.176、139.224.8.64、101.132.70.106、101.132.156.228、106.15.36.12、139.196.168.125、47.101.178.223、および 47.101.220.176

    100.104.43.0/26

    中国 (青島)

    47.104.111.68

    100.104.87.192/26

    中国 (北京)

    47.95.202.245

    100.104.114.192/26

    中国 (張家口)

    39.99.229.195

    100.104.187.64/26

    中国 (フフホト)

    39.104.147.68

    100.104.36.0/26

    中国 (深圳)

    120.78.64.225

    100.104.250.64/26

    中国 (広州)

    8.134.118.184

    100.104.111.0/26

    中国 (香港)

    8.218.59.176

    100.104.130.128/26

    日本 (東京)

    47.74.24.20

    100.104.69.0/26

    シンガポール

    8.219.240.137

    100.104.67.64/26

    米国 (シリコンバレー)

    47.254.39.224

    100.104.145.64/26

    米国 (バージニア)

    47.252.4.238

    100.104.36.0/26

    ドイツ (フランクフルト)

    47.254.158.71

    172.16.0.0/20

    英国 (ロンドン)

    8.208.14.12

    172.16.0.0/20

    インドネシア (ジャカルタ)

    149.129.238.99

    100.104.193.128/26

    1. サードパーティ製イメージサービスがデータセンターにデプロイされ、VPC 経由で接続されている場合は、イメージサービス宛てのトラフィックを転送する必要があります。この場合、Elastic Compute Service(ECS)インスタンスを使用して、サードパーティ製イメージサービスがデプロイされているデータセンター内のサーバーにトラフィックを転送する必要があります。

      次のサンプルコマンドでは、ECS インスタンスのポート A 上のトラフィックが、IP アドレス 192.168.XX.XX を使用するオンプレミスサーバーのポート B に転送されます。

      • CentOS 7 のサンプルコマンド

        • firewall-cmd を使用する

          firewall-cmd --permanent --add-forward-port=port=<Port A>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<Port B>

        • iptables を使用する:

          1. ポートフォワーディングを有効にします。

            echo "1" > /proc/sys/net/ipv4/ip_forward

          2. ポートフォワーディングを構成します。

            iptables -t nat -A PREROUTING -p tcp --dport <Port A> -j DNAT --to-destination <192.168.XX.XX>:<Port B>

      • Windows のサンプルコマンド

        netsh interface portproxy add v4tov4 listenport=<Port A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<Port B> protocol=tcp

    2. セキュリティセンターコンソールにログオンします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

    3. 左側のナビゲーションウィンドウで、アセットセンター > コンテナアセット を選択します。

    4. [コンテナー] ページで、[イメージ] タブをクリックします。このタブで、[追加][サードパーティ製イメージリポジトリの追加] の下の 接入第三方镜像仓库 をクリックします。

    5. [イメージリポジトリの追加] パネルで、次のパラメーターを構成し、[次へ] をクリックします。

      パラメーター

      説明

      プライベートリポジトリタイプ

      サードパーティ製イメージリポジトリのタイプ。有効な値:harborquaygitlab

      バージョン

      サードパーティ製イメージリポジトリのバージョン。有効な値:

      • V1:イメージリポジトリのバージョンが 1.X.X の場合は、このオプションを選択します。

      • V2:イメージリポジトリのバージョンが 2.X.X 以降の場合は、このオプションを選択します。

      • gitlabPrivate Repository Type として選択すると、V1 がデフォルトオプションになり、変更できません。

      通信タイプ

      セキュリティセンターがサードパーティ製イメージリポジトリとの通信に使用するプロトコル。有効な値:

      • http

      • https

      ネットワークタイプ

      サードパーティ製イメージリポジトリのネットワークタイプ。有効な値:

      • インターネット

      • VPC

      リージョン ID

      サードパーティ製イメージリポジトリが存在するリージョンの ID。

      IP

      サードパーティ製イメージリポジトリの IP アドレスとポート番号。イメージサービスのトラフィック転送ルールを構成した場合は、IP パラメーターとポート番号を、イメージサービス宛てのトラフィックを転送する ECS インスタンスのものに設定する必要があります。

      ポート

      ドメイン名

      サードパーティ製イメージリポジトリのドメイン名。

      速度制限

      1 時間あたりにセキュリティセンターに追加できるイメージの数。デフォルト値:10

      重要

      1 時間あたりに多数のイメージが追加されると、サービスに悪影響が及ぶ可能性があります。ほとんどの場合、このパラメーターを 無制限 に設定することはお勧めしません。

      ユーザー名

      管理権限を持ち、サードパーティ製イメージリポジトリへのアクセスに使用されるアカウントのユーザー名。

      パスワード

      アカウントのパスワード。

      Quay Namespace Information

      このパラメーターは、Private Repository Typequay に設定した場合にのみ必須です。

      Image Repository Organization フィールドに、イメージリポジトリが属する組織の名前を入力します。認証トークン フィールドに、組織に対応する認証トークンを入力します。

      [追加] をクリックして、複数のイメージリポジトリが属する組織を指定できます。

      GitLab Group Information

      このパラメーターは、Private Repository Typegitlab に設定した場合にのみ必須です。

      グループ情報 フィールドに、イメージリポジトリが属するグループの名前を入力します。アクセストークン フィールドに、グループに対応するアクセストークンを入力します。

      [追加] をクリックして、複数のイメージリポジトリが属するグループを指定できます。

      サードパーティ製イメージリポジトリをセキュリティセンターに追加したら、左側のナビゲーションウィンドウで [保護設定] > [コンテナ保護] > イメージセキュリティスキャン を選択し、右上隅にある スキャンの設定 をクリックして、追加されたイメージリポジトリに関する情報を表示します。

    エラーコード

    エラーコード

    エラーメッセージ

    解決策

    FailedToVerifyUsernameOrPwd

    ユーザー名またはパスワードが無効なために返されたエラーメッセージ。

    ユーザー名とパスワードが正しいかどうかを確認します。

    RegistryVersionError

    イメージリポジトリのバージョンが無効なために返されたエラーメッセージ。

    イメージリポジトリのバージョンが有効かどうかを確認します。

    UserDoesNotHaveAdminRole

    管理権限がないために返されたエラーメッセージ。

    harbor リポジトリがデプロイされているサーバーにログオンし、管理権限を取得します。

    NetworkConnectError

    ネットワーク接続がタイムアウトしたために返されたエラーメッセージ。

    ネットワークに接続できるかどうか、ポート 80 またはポート 443 が有効になっているかどうかを確認します。

    次のステップ

    イメージリポジトリがセキュリティセンターに追加されると、イメージリポジトリ内のイメージはセキュリティセンターによって保護されます。イメージに関する情報は、[コンテナー] ページの [イメージ] タブで表示できます。詳細については、「コンテナに関するセキュリティ情報を表示する」をご参照ください。

    セキュリティセンターを使用して、イメージリポジトリ内のイメージのリスクをスキャンする必要があります。詳細については、「イメージをスキャンする」をご参照ください。