我们正在CodeBuild中构建Docker镜像。这工作正常,但我们有一个“高”安全集线器发现,因为我们必须启用特权模式:
CodeBuild.5 CodeBuild project environments should not have privileged mode enabled
字符串我目前正在寻找一种不使用特权模式构建Docker镜像的方法。我从AWS看到了this URL,他们也使用了特权模式。如何在不使用此模式的情况下构建Docker镜像,以便我们符合安全中心规则?
7nbnzgx91#
如果我们参考AWS指南https://docs.aws.amazon.com/codebuild/latest/userguide/sample-docker.html因为您使用此构建项目来构建Docker镜像,所以选择Privileged由于您正在构建Docker镜像,因此codebuild将要求privilegedMode=true@ekeyse已经共享了cdk文档,需要特权模式,否则会失败指定true以启用在Docker容器内运行Docker守护进程。仅当此构建项目将用于构建Docker映像,并且指定的构建环境映像不是由具有Docker支持的AWS CodeBuild提供的映像时,此值才必须设置为true。否则,所有尝试与Docker守护进程交互的关联构建都将失败。我个人认为security hub是在通知您有一个codebuild项目在特权模式下运行,如果是有意的,您可以忽略
cgvd09ve2#
你可以在整个aws cli中执行此操作。
aws codebuild update-project --name "my-project-name" --environment "{\"type\": \"LINUX_CONTAINER\",\"image\": \"aws/codebuild/amazonlinux2-x86_64-standard:2.0\",\"computeType\": \"BUILD_GENERAL1_SMALL\",\"privilegedMode\": false}" --profile my-aws-profile-nonprod
字符串Here is AWS Documentation没有办法(现在)在整个AWS控制台中做到这一点。但是你可以在控制台上看到你的配置:AWS配置>资源> my-project-name >查看配置项(JSON)然后你可以检查结果。
2条答案
按热度按时间7nbnzgx91#
如果我们参考AWS指南https://docs.aws.amazon.com/codebuild/latest/userguide/sample-docker.html
因为您使用此构建项目来构建Docker镜像,所以选择Privileged
由于您正在构建Docker镜像,因此codebuild将要求privilegedMode=true
@ekeyse已经共享了cdk文档,需要特权模式,否则会失败
指定true以启用在Docker容器内运行Docker守护进程。仅当此构建项目将用于构建Docker映像,并且指定的构建环境映像不是由具有Docker支持的AWS CodeBuild提供的映像时,此值才必须设置为true。否则,所有尝试与Docker守护进程交互的关联构建都将失败。
我个人认为security hub是在通知您有一个codebuild项目在特权模式下运行,如果是有意的,您可以忽略
cgvd09ve2#
你可以在整个aws cli中执行此操作。
字符串
Here is AWS Documentation
没有办法(现在)在整个AWS控制台中做到这一点。但是你可以在控制台上看到你的配置:
AWS配置>资源> my-project-name >查看配置项(JSON)
然后你可以检查结果。