Scannen Sie Bilder auf Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen in Amazon ECR

Amazon ECR Enhanced Scanning ist eine Integration mit Amazon Inspector, die Schwachstellenscans für Ihre Container-Images ermöglicht. Ihre Container-Images werden auf Schwachstellen in Betriebssystemen und Programmiersprachenpaketen gescannt. Sie können die Scanergebnisse sowohl bei Amazon ECR als auch direkt bei Amazon Inspector einsehen. Weitere Informationen zu Amazon Inspector finden Sie unter Scannen von Container-Images mit Amazon Inspector im Benutzerhandbuch für Amazon Inspector.

Beim erweiterten Scannen können Sie auswählen, welche Repositorys für automatisches, kontinuierliches Scannen und welche für Scan bei Push konfiguriert sind. Dies geschieht durch Festlegen von Scanfiltern.

Überlegungen für das erweiterte Scannen

Beachten Sie Folgendes, bevor Sie Amazon ECR Enhanced Scanning aktivieren.

• Für die Nutzung dieser Funktion fallen keine zusätzlichen Kosten von Amazon ECR an. Amazon Inspector erhebt jedoch Kosten für das Scannen Ihrer Bilder. Weitere Informationen erhalten Sie unter Amazon Inspector: Preise.

• Erweitertes Scannen wird in den folgenden Regionen nicht unterstützt:

  • Naher Osten (UAE) (me-central-1)

  • Asien-Pazifik (Hyderabad) (ap-south-2)

  • Israel (Tel Aviv) (il-central-1)

  • Asien-Pazifik (Melbourne) (ap-southeast-4)

  • Europa (Spanien) (eu-south-2)

• Amazon Inspector unterstützt das Scannen nach bestimmten Betriebssystemen. Eine vollständige Liste finden Sie unter Unterstützte Betriebssysteme — ECR Amazon-Scanning im Amazon Inspector-Benutzerhandbuch.

• Amazon Inspector verwendet eine servicebezogene IAM Rolle, die die Berechtigungen bereitstellt, die für erweiterte Scans Ihrer Repositorys erforderlich sind. Die serviceverknüpfte IAM Rolle wird automatisch von Amazon Inspector erstellt, wenn das erweiterte Scannen für Ihre private Registrierung aktiviert wird. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Inspector im Benutzerhandbuch für Amazon Inspector.

• Wenn Sie das erweiterte Scannen für Ihre private Registrierung zunächst aktivieren, erkennt Amazon Inspector nur Bilder, die ECR in den letzten 30 Tagen, basierend auf dem Image-Push-Zeitstempel, an Amazon gesendet oder in den letzten 90 Tagen abgerufen wurden. Ältere Bilder haben den SCAN_ELIGIBILITY_EXPIRED-Scanstatus. Wenn Sie möchten, dass diese Bilder von Amazon Inspector gescannt werden, sollten Sie sie erneut in Ihr Repository verschieben.

• Alle Bilder, die ECR nach der Aktivierung des erweiterten Scannens an Amazon gesendet werden, werden kontinuierlich für die konfigurierte Dauer gescannt. Die Standarddauer ist Lifetime. Diese Einstellung kann über die Amazon Inspector-Konsole festgelegt werden. Weitere Informationen finden Sie unter Änderung der erweiterten Scandauer für Bilder in Amazon Inspector.

• Wenn das erweiterte Scannen für Ihre ECR private Amazon-Registrierung aktiviert ist, werden Repositorys, die den Scanfiltern entsprechen, nur mit erweitertem Scannen gescannt. Alle Repositorys, die keinem Filter entsprechen, haben eine Off-Scanfrequenz und werden nicht gescannt. Manuelle Scans mit erweitertem Scannen werden nicht unterstützt. Weitere Informationen finden Sie unter Filter zur Auswahl der Repositorys, die in Amazon gescannt werden ECR.

• Wenn Sie separate Filter für Scan on Push und kontinuierliches Scannen angeben, bei denen mehrere Filter demselben Repository entsprechen, setzt Amazon den Filter ECR für kontinuierliches Scannen über den Filter für Scan bei Push-Zugriff für dieses Repository durch.

• Wenn erweitertes Scannen aktiviert ist, ECR sendet Amazon ein Ereignis an, EventBridge wenn die Scan-Frequenz für ein Repository geändert wird. Amazon Inspector gibt Ereignisse aus, EventBridge wenn ein erster Scan abgeschlossen ist und wenn ein Bildscan-Ergebnis erstellt, aktualisiert oder geschlossen wird.