フロー

• ECRの拡張スキャンを有効にする
• ECRに脆弱性のあるコンテナイメージをpush
• スキャンにより脆弱性を発見すると、EventBridgeにイベントを送信する
• SNSへイベントを転送し、メール転送を実施する

構成図

参考

https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html
https://dev.classmethod.jp/articles/re-introduction-2020-eventbridge/#toc-eventbridgeecr

ECR

• 拡張スキャン設定をonにする

SNS

• トピック,サブスクリプションを作成
• サブスクリプションのプロトコルは今回はemailを使用。
  • 通知先のメールアドレスを用意する
• EventBridgeからのアクセスを許可するため、トピックにアクセスポリシーを適用する
  • コンソールから設定すると自動で補完してくれるため考慮不要、SDKやterraformなどを使用すると設定必要

EventBridge

• イベントルールは以下のように記載

  {
  "source": ["aws.inspector2"],
  "detail-type": ["Inspector2 Finding"]
  }

• ターゲットは作成したSNSトピック

成功時のメール

出力内容

イベントの内容は以下を参考にします。
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html#image-scanning-enhanced-events

github

https://github.com/not75743/terraform-ECR-imagescan-notification

zenn記事

https://zenn.dev/not75743/articles/a136fee29903e1