Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector - Amazon Inspector
Scanverhalten für ECR Amazon-ScansUnterstützte Betriebssysteme und MedientypenKonfiguration erweiterter Scans für ECR Amazon-RepositorysECRDauer des erneuten Scans

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector

Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie ECR Amazon-Scanning aktivieren, legen Sie Amazon Inspector als bevorzugten Scan-Service für Ihre private Registrierung fest. Das bedeutet auch, dass Sie die Einstellung der Scan-Konfiguration für Ihre private Registrierung von einfachem Scannen auf erweitertes Scannen ändern.

Anmerkung

Das einfache Scannen wird über Amazon ECR bereitgestellt und in Rechnung gestellt. Weitere Informationen finden Sie unter Amazon Elastic Container Registry — Preise. Erweitertes Scannen wird über Amazon Inspector bereitgestellt und abgerechnet. Weitere Informationen erhalten Sie unter Amazon Inspector: Preise.

Mit dem erweiterten Scannen suchen Sie auf Registrierungsebene nach Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen. Informationen darüber, wie Sie Ihre Ergebnisse einsehen können, finden Sie unterErgebnisse in Amazon Inspector verwalten. Informationen dazu, wie Sie Ihre Ergebnisse auf Bildebene anzeigen können, finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide. Sie können Ergebnisse auch verwalten, wenn sie AWS-Services nicht für einfaches Scannen verfügbar sind, wie AWS Security Hub bei Amazon EventBridge.

Informationen zur Aktivierung von ECR Amazon-Scanning finden Sie unterEinen Scantyp aktivieren. Dieser Abschnitt enthält Informationen zum ECR Amazon-Scannen und beschreibt, wie Sie das erweiterte Scannen für ECR Amazon-Repositorys konfigurieren.

Scanverhalten für ECR Amazon-Scans

Wenn Sie das ECR Scannen zum ersten Mal aktivieren und Ihr Repository für kontinuierliches Scannen konfiguriert ist, erkennt Amazon Inspector alle geeigneten Bilder, die Sie innerhalb von 30 Tagen übertragen oder innerhalb der letzten 90 Tage abgerufen haben. Dann scannt Amazon Inspector die erkannten Bilder und setzt ihren Scanstatus aufactive. Amazon Inspector überwacht weiterhin Bilder, solange sie innerhalb der letzten 90 Tage (standardmäßig) oder innerhalb der von Ihnen konfigurierten Dauer für den ECR erneuten Scan übertragen oder abgerufen wurden. Weitere Informationen finden Sie unter Konfiguration der Dauer des ECR erneuten Scans.

Für kontinuierliches Scannen initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von Container-Images:

  • Immer wenn ein neues Container-Image übertragen wird.

  • Immer wenn Amazon Inspector seiner Datenbank ein neues Element mit allgemeinen Sicherheitslücken und Exposures (CVE) hinzufügt, das für dieses Container-Image relevant CVE ist (nur kontinuierliches Scannen).

Wenn Sie Ihr Repository für On-Push-Scannen konfigurieren, werden Bilder nur gescannt, wenn Sie sie per Push übertragen.

Sie können im Tab Container-Images auf der Kontoverwaltungsseite überprüfen, wann ein Container-Image zuletzt auf Sicherheitslücken überprüft wurde, oder indem Sie den ListCoverageAPI Amazon Inspector aktualisiert das Feld Zuletzt gescannt am eines ECR Amazon-Bilds als Reaktion auf die folgenden Ereignisse:

  • Wenn Amazon Inspector einen ersten Scan eines Container-Images abschließt.

  • Wenn Amazon Inspector ein Container-Image erneut scannt, weil der Amazon Inspector Inspector-Datenbank ein neues Element mit allgemeinen Sicherheitslücken und Exposures (CVE) hinzugefügt wurde, das sich auf dieses Container-Image auswirkt.

Unterstützte Betriebssysteme und Medientypen

Informationen zu unterstützten Betriebssystemen finden Sie unterUnterstützte Betriebssysteme für ECR Amazon-Scanning.

Amazon Inspector-Scans von ECR Amazon-Repositorys decken die folgenden unterstützten Medientypen ab:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    Anmerkung

    Scratch-Bilder und "application/vnd.docker.distribution.manifest.list.v2+json" Bilder werden nicht unterstützt.

Konfiguration erweiterter Scans für ECR Amazon-Repositorys

Wenn Sie Amazon Inspector-Scans für ECR Amazon-Container-Images aktivieren, ändern Sie die Scan-Konfigurationseinstellung für Ihre private Registrierung von einfachem Scannen auf erweitertes Scannen. Beim einfachen Scannen wird die Datenbank Common Vulnerabilities and Exposures aus dem Open-Source-Projekt Clair verwendet. Enhanced Scanning ist in Amazon Inspector integriert und ermöglicht automatisiertes und kontinuierliches Scannen Ihrer Repositorys.

Beim einfachen Scannen konfigurieren Sie Ihre Repositorys so, dass sie bei Push scannen, oder Sie führen manuelle Scans durch. Mit erweitertem Scannen scannt Amazon Inspector Ihre Container-Images auf Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen. Weitere Informationen finden Sie unter Amazon Inspector FAQs, wo die Unterschiede zwischen einfachem und erweitertem Scannen side-by-side verglichen werden.

Sie können die Einstellungen für erweitertes Scannen auf Repository-Ebene in verwaltenECR. Sie können zwischen Push-Scan und kontinuierlichem Scannen wählen. Beim Push-Scannen wird nur gescannt, wenn Sie ein Bild verschieben. Kontinuierliches Scannen umfasst On-Push-Scans und automatische Rescans. Sie können den Umfang für beide Optionen mit Einschlussfiltern verfeinern.

Anmerkung

Wenn Sie Amazon Inspector-Scans für ECR Amazon-Container-Images aktivieren, ist kontinuierliches Scannen aktiviert. Sie können diese Option jedoch deaktivieren, um Scanfilter in der Konsole anzuwenden.

Um Ihre erweiterten Scaneinstellungen zu konfigurieren

  1. Melden Sie sich mit Ihren Zugangsdaten an.

  2. Öffnen Sie die ECR Amazon-Konsole unter https://console.aws.amazon.com/ecr/.

  3. Wählen Sie im AWS-Region Auswahl-Dropdown-Menü das AWS-Region mit den Repositorys aus, die Sie scannen möchten.

  4. Wählen Sie im Navigationsbereich Private Registrierung und dann Einstellungen aus.

  5. Wählen Sie unter Scannen die Option Bearbeiten und dann Erweitertes Scannen aus.

  6. (Optional) Deaktivieren Sie die Option Alle Repositorys kontinuierlich scannen, um Filter für kontinuierliches Scannen und On-Push-Scannen zu konfigurieren.

  7. Bestätigen Sie Ihre Auswahl und wählen Sie dann Speichern.

Konfiguration der Dauer des ECR erneuten Scans

Die Einstellung für die Dauer des ECR erneuten Scans bestimmt, wie lange Amazon Inspector kontinuierlich Container-Images in Repositorys überwacht. Sie können die Dauer des erneuten Scans für das Image-Push-Datum und das Image-Pull-Datum konfigurieren. Die Standardscandauer für neue Konten, einschließlich neuer Konten, die zu einer Organisation hinzugefügt wurden, beträgt 90 Tage.

Dauer des Bild-Push-Datums

Die Dauer des Image-Push-Datums bestimmt, wie lange Amazon Inspector Bilder kontinuierlich überwacht, nachdem sie nach dem letzten Pull-Datum in Repositorys übertragen wurden. Die folgenden Optionen sind für die Dauer des erneuten Scans verfügbar:

  • 14 Tage

  • 30 Tage

  • 60 Tage

  • 90 Tage (Standard)

  • 180 Tage

  • Nutzungsdauer

Dauer des Abrufs des Bilds

Die Dauer des Abrufdatums bestimmt, wie lange Amazon Inspector Bilder nach dem letzten Abrufdatum kontinuierlich überwacht. Die folgenden Optionen sind für die Dauer des erneuten Scans verfügbar:

  • 14 Tage

  • 30 Tage

  • 60 Tage

  • 90 Tage (Standard)

  • 180 Tage

Amazon Inspector überwacht ein Bild weiterhin und scannt es erneut, solange es innerhalb der konfigurierten Push- und Pull-Daten übertragen oder abgerufen wurde. Wenn das Bild nicht innerhalb der konfigurierten Push- und Pull-Daten übertragen oder abgerufen wurde, beendet Amazon Inspector die Überwachung.

Anmerkung

Wenn Amazon Inspector die Überwachung eines Bilds beendet, setzt es den Statuscode für den Bildscan auf inactive und den Ursachencode aufexpired. Anschließend wird geplant, dass alle zugehörigen Bildergebnisse geschlossen werden.

Stellen Sie die Dauer des erneuten Scans so ein, dass sie am besten zu Ihrer Umgebung passt. Wenn Sie beispielsweise häufig Bilder erstellen, wählen Sie eine kürzere Scandauer. Wenn Sie Bilder über einen längeren Zeitraum verwenden, sollten Sie auch eine längere Scandauer wählen.

Wenn Sie die Dauer des erneuten Scans von einem delegierten Administratorkonto aus konfigurieren, wendet Amazon Inspector die Einstellung auf alle Mitgliedskonten in der Organisation an.

Um die Dauer des erneuten Scans zu konfigurieren ECR

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie im Navigationsbereich Allgemeine Einstellungen und dann ECRScaneinstellungen aus.

  3. Wählen Sie in den ECRScaneinstellungen unter Dauer des ECRerneuten Scannens die Dauer des Bild-Push-Datums und die Dauer des Bild-Pulldatums aus, die Sie festlegen möchten.

  4. Wählen Sie Save (Speichern) aus. Ihre neuen Einstellungen werden sofort übernommen.

Anmerkung

Wenn Sie die Dauer des Push-Datums verlängern, wendet Amazon Inspector die Änderung auf alle aktiv gescannten Bilder in Repositorys an, die für kontinuierliches Scannen konfiguriert sind. Inaktive Bilder bleiben jedoch inaktiv, auch wenn Sie sie innerhalb der neuen Dauer per Push übertragen haben.