Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector - Amazon Inspector
Comportamientos de los análisis de Amazon ECRSistemas operativos y tipos de medios compatiblesConfiguración de los análisis mejorados para repositorios de Amazon ECRDuración de la redigitalización del ECR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector

Amazon Inspector escanea las imágenes de los contenedores almacenadas en Amazon ECR en busca de vulnerabilidades de software para generar hallazgos de vulnerabilidades en los paquetes.

Al activar los escaneos de Amazon Inspector para Amazon ECR, configura Amazon Inspector como el servicio de escaneo preferido para su registro privado. Esto también significa que debe cambiar la configuración de digitalización de su registro privado, pasando de la digitalización básica a la mejorada. Para obtener más información, consulta las preguntas frecuentes de Amazon Inspector.

nota

El escaneo básico se proporciona y se factura a través de Amazon ECR. Para obtener más información, consulte los precios de Amazon Elastic Container Registry. El escaneo mejorado se proporciona y se factura a través de Amazon Inspector. Para obtener más información, consulte Precios de Amazon Inspector.

Con el escaneo mejorado, obtiene la ventaja de escanear vulnerabilidades para paquetes de sistemas operativos y lenguajes de programación a nivel de registro. Puede ver los hallazgos detectados mediante escaneos desde la consola de Amazon Inspector. Para obtener más información, consulte Administración de los resultados en Amazon Inspector.

También puede ver los resultados detectados mediante escaneos a nivel de imagen desde la consola Amazon ECR. Para obtener más información, consulte Escaneo de imágenes en la Guía del usuario de Amazon Elastic Container Registry. Además, puedes revisar y trabajar con los resultados de otros servicios que no están disponibles para el escaneo básico, como AWS Security Hub Amazon EventBridge.

Para obtener instrucciones sobre cómo activar los escaneos de Amazon ECR, consulteActivación de un tipo de análisis.

Comportamientos de los análisis de Amazon ECR

Cuando activas el escaneo ECR por primera vez y tu repositorio está configurado para el escaneo continuo, Amazon Inspector detecta todas las imágenes aptas que hayas enviado en un plazo de 30 días o que hayas extraído en los últimos 90 días. A continuación, Amazon Inspector escanea las imágenes detectadas y establece su estado de escaneo enactive. Amazon Inspector sigue supervisando las imágenes siempre que se hayan insertado o extraído en los últimos 90 días (de forma predeterminada) o dentro del tiempo de reescaneo de ECR que configure. Para obtener más información, consulte Configuración de la duración de la nueva digitalización del ECR.

Para un escaneo continuo, Amazon Inspector inicia nuevos escaneos de vulnerabilidades de las imágenes de los contenedores en las siguientes situaciones:

  • cada vez que se inserta una nueva imagen de contenedor,

  • cada vez que Amazon Inspector agrega un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y una CVE es relevante para la imagen de contenedor (solo para análisis continuos).

Si configura su repositorio para escanearlas automáticamente, las imágenes solo se escanearán cuando las inserte.

Puede comprobar la última vez en la que se revisó una imagen de contenedor en busca de vulnerabilidades desde la pestaña Imágenes de contenedores de la página Administración de cuentas o con la API ListCoverage. Amazon Inspector actualiza el campo Fecha del último análisis de una imagen de Amazon ECR en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una imagen de contenedor,

  • cuando Amazon Inspector vuelve a analizar una imagen de contenedor porque se ha agregado a la base de datos de Amazon Inspector un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) que afecta a dicha imagen de contenedor.

Sistemas operativos y tipos de medios compatibles

Para obtener información acerca de los sistemas operativos compatibles, consulte Sistemas operativos admitidos para el análisis de Amazon ECR.

Los análisis de Amazon Inspector de repositorios de Amazon ECR cubren los siguientes tipos de medios compatibles:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    nota

    No se admiten imágenes de reserva ni imágenes "application/vnd.docker.distribution.manifest.list.v2+json".

Configuración de los análisis mejorados para repositorios de Amazon ECR

Al activar los escaneos de Amazon Inspector para imágenes de contenedores de Amazon ECR, cambias la configuración de digitalización de tu registro privado, pasando de la digitalización básica a la mejorada. El escaneo básico utiliza la base de datos de vulnerabilidades y exposiciones comunes del proyecto Clair de código abierto. El escaneo mejorado se integra con Amazon Inspector y proporciona un escaneo automático y continuo de sus repositorios.

Con el escaneo básico, puede configurar sus repositorios para que escaneen automáticamente o realizar escaneos manuales. Con un escaneo mejorado, Amazon Inspector escanea las imágenes de los contenedores en busca de vulnerabilidades en los paquetes del sistema operativo y del lenguaje de programación. Para obtener más información, consulte las preguntas frecuentes de Amazon Inspector, que muestran una side-by-side comparación de las diferencias entre el escaneo básico y el mejorado.

Puede administrar la configuración para mejorar el escaneo a nivel de repositorio en ECR. Puede elegir entre digitalización automática o continua. Con el escaneo push, solo escanea cuando se inserta una imagen. El escaneo continuo incluye los escaneos push y los reescaneos automatizados. Puede refinar el alcance de ambas opciones con filtros de inclusión.

nota

Al activar los escaneos de Amazon Inspector para imágenes de contenedores de Amazon ECR, se habilita el escaneo continuo. Sin embargo, puede deseleccionar esta opción para aplicar filtros de digitalización en la consola.

Configuración del análisis mejorado

  1. Inicie sesión con sus credenciales.

  2. Abra la consola de Amazon ECR en https://console.aws.amazon.com/ecr/.

  3. En el menú desplegable del Región de AWS selector, selecciona el Región de AWS repositorio que estás escaneando.

  4. En el panel de navegación, selecciona Registro privado y, a continuación, selecciona Configuración.

  5. En Escaneo, selecciona Editar y, a continuación, Escaneo mejorado.

  6. (Opcional) Desactive la opción Escanear continuamente todos los repositorios para configurar el escaneo continuo y los filtros de escaneo automático.

  7. Confirme sus opciones y, a continuación, seleccione Guardar.

Configuración de la duración de la nueva digitalización del ECR

La configuración de duración de la redigitalización del ECR determina durante cuánto tiempo Amazon Inspector monitorea continuamente las imágenes de los contenedores en los repositorios. Puede configurar la duración del nuevo escaneo para la fecha de inserción y la fecha de extracción de la imagen. La duración predeterminada del escaneo para las cuentas nuevas, incluidas las nuevas cuentas agregadas a una organización, es de 90 días.

Fecha y duración de la inserción de la imagen

La duración de la fecha de inserción de la imagen determina cuánto tiempo Amazon Inspector monitorea continuamente las imágenes después de haberlas enviado a los repositorios tras la última fecha de extracción. Las siguientes opciones están disponibles como duraciones para volver a digitalizar:

  • 14 días

  • 30 días

  • 60 días

  • 90 días (predeterminado)

  • 180 días

  • Vida útil

Fecha y duración de la extracción de la imagen

La duración de la fecha de extracción de imágenes determina cuánto tiempo Amazon Inspector monitorea continuamente las imágenes después de la última fecha de extracción. Las siguientes opciones están disponibles como duraciones para volver a escanear:

  • 14 días

  • 30 días

  • 60 días

  • 90 días (predeterminado)

  • 180 días

Amazon Inspector seguirá supervisando y volviendo a escanear una imagen siempre que se haya insertado o arrastrado dentro de las fechas de inserción y extracción configuradas. Si la imagen no se ha insertado o extraído dentro de las fechas de inserción y extracción configuradas, Amazon Inspector deja de monitorizarla.

nota

Cuando Amazon Inspector deja de monitorizar una imagen, establece el código de estado del escaneo de la imagen en inactive y el código de motivo enexpired. A continuación, programa el cierre de todas las imágenes encontradas asociadas.

Establezca la duración del nuevo escaneo para que se adapte mejor a su entorno. Por ejemplo, si crea imágenes con frecuencia, elija una duración de escaneo más corta. Del mismo modo, si usa imágenes durante períodos de tiempo prolongados, elija una duración de escaneo más larga.

Al configurar la duración del nuevo escaneo desde una cuenta de administrador delegado, Amazon Inspector aplica la configuración a todas las cuentas de los miembros de la organización.

Para configurar la duración de la redigitalización del ECR

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. En el panel de navegación, seleccione Configuración general y, a continuación, seleccione Configuración de digitalización ECR.

  3. En la configuración de digitalización con ECR, en Duración de la nueva digitalización con ECR, elija la duración de la fecha de inserción de la imagen y la duración de la fecha de extracción de la imagen que desee establecer.

  4. Seleccione Guardar. La nueva configuración se aplicará inmediatamente.

nota

Si aumentas la duración de la fecha de inserción, Amazon Inspector aplica el cambio a todas las imágenes escaneadas activamente en los repositorios configurados para el escaneo continuo. Sin embargo, las imágenes inactivas permanecen inactivas, incluso si las ha colocado dentro de la nueva duración.