Escanee imágenes para detectar vulnerabilidades en los paquetes de lenguajes de programación y sistemas operativos en Amazon ECR - Amazon ECR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escanee imágenes para detectar vulnerabilidades en los paquetes de lenguajes de programación y sistemas operativos en Amazon ECR

El escaneo mejorado de Amazon ECR es una integración con Amazon Inspector que proporciona análisis de vulnerabilidades para las imágenes de contenedor. Las imágenes de contenedor se analizan en busca de vulnerabilidades de los paquetes de idiomas de programación y sistemas operativos. Puede ver los hallazgos del escaneo tanto con Amazon ECR como con Amazon Inspector directamente. Para obtener información acerca de Amazon Inspector, consulte Escaneo de imágenes de contenedores con Amazon Inspector en la Guía del usuario de Amazon Inspector.

Con el escaneo mejorado, puede elegir qué repositorios están configurados para el escaneo automático y continuo y cuáles están configurados para el escaneo al insertar. Esto se hace configurando filtros de escaneo.

Consideraciones del escaneo mejorado

Antes de habilitar el escaneo mejorado de Amazon ECR, tenga en cuenta lo siguiente.

  • El uso de esta característica no implica costos adicionales por parte de Amazon ECR; sin embargo, sí se generan cargos de Amazon Inspector por el escaneado de las imágenes. Esta función está disponible en las regiones en las que se admite Amazon Inspector. Para obtener más información, consulte:

  • El escaneo mejorado con Amazon ECR muestra cómo se utilizan las imágenes en Amazon EKS y Amazon ECS. Puede ver cuándo se usaron las imágenes por última vez e identificar cuántos clústeres utilizan cada imagen. Esta información le ayuda a priorizar la corrección de vulnerabilidades para las imágenes que se utilizan activamente. Puede determinar rápidamente qué clústeres podrían verse afectados por las vulnerabilidades descubiertas recientemente. Para obtener más información sobre cómo solicitar esta información y ver la respuesta, consulte DescribeImageScanFindings.

  • Amazon Inspector admite el escaneo de sistemas operativos específicos. Para obtener una lista completa, consulte Sistemas operativos compatibles: escaneo de Amazon ECR en la Guía del usuario de Amazon Inspector.

  • Amazon Inspector utiliza un rol de IAM vinculado a servicios, que proporciona los permisos necesarios para ofrecer un escaneo mejorado de los repositorios. Amazon Inspector crea automáticamente el rol de IAM vinculado a servicios cuando se enciende el escaneo mejorado para su registro privado. Para obtener más información, consulte Uso de roles vinculados a servicios de Amazon Inspector en la Guía del usuario de Amazon Inspector.

  • Al activar por primera vez el escaneo mejorado para su registro privado, Amazon Inspector solo reconoce las imágenes enviadas a Amazon ECR en los últimos 14 días, según la marca de tiempo de inserción de la imagen. Las imágenes más antiguas tendrán el estado de escaneo SCAN_ELIGIBILITY_EXPIRED. Si desea que Amazon Inspector escanee estas imágenes, debe volver a subirlas a su repositorio.

  • Cuando el registro privado de Amazon ECR tiene encendido el escaneo mejorado, todos los repositorios que coinciden con los filtros de escaneo se analizan únicamente mediante el escaneo mejorado. Cualquier repositorio que no coincida con un filtro tendrá una frecuencia de escaneo Off, pero no se escaneará. No se admiten los escaneos manuales mediante escaneo mejorado. Para obtener más información, consulte Filtros para elegir qué repositorios se escanean en Amazon ECR.

  • Si especifica filtros independientes para escanear al insertar y escaneo continuo donde varios filtros coinciden con el mismo repositorio, Amazon ECR aplica el filtro de escaneo continuo sobre el filtro de escaneo al insertar de ese repositorio.

  • Cuando se activa el escaneo mejorado, Amazon ECR envía un evento EventBridge cuando se cambia la frecuencia de escaneo de un repositorio. Amazon Inspector emite eventos EventBridge cuando se completa un escaneo inicial y cuando se crea, actualiza o cierra un hallazgo de escaneo de imágenes.

Cambio de la duración del escaneo mejorado de imágenes en Amazon Inspector

Tras habilitar el escaneo mejorado, Amazon ECR escanea continuamente las imágenes recién insertadas durante el tiempo configurado. De forma predeterminada, Amazon Inspector supervisa sus repositorios hasta que se eliminen las imágenes o se desactive el escaneo mejorado. Puede configurar tanto la duración de la fecha de inserción (hasta el ciclo de vida) como la duración de la nueva digitalización en la consola de Amazon Inspector para adaptarla a las necesidades de su entorno. Cuando transcurre la duración del escaneo de un repositorio, el estado del escaneo se muestra como. SCAN_ELIGIBILITY_EXPIRED Para obtener más información sobre cómo configurar los ajustes de duración de la redigitalización para Amazon ECR en Amazon Inspector, consulte Configuración de la duración de la redigitalización de Amazon ECR en la Guía del usuario de Amazon Inspector.