Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector - Amazon Inspector
Comportements de scan pour Amazon ECR ScanningSystèmes d'exploitation et types de supports pris en chargeConfiguration de l'analyse améliorée pour les ECR référentiels AmazonECRdurée de la nouvelle numérisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector

Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez le ECR scan Amazon, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé. Cela signifie également que vous modifiez le paramètre de configuration de numérisation de votre registre privé en passant d'une analyse de base à une analyse améliorée.

Note

La numérisation de base est fournie et facturée par AmazonECR. Pour plus d'informations, consultez la tarification d'Amazon Elastic Container Registry. La numérisation améliorée est fournie et facturée via Amazon Inspector. Pour plus d'informations, consultez la Tarification d'Amazon Inspector.

Grâce à l'analyse améliorée, vous recherchez les vulnérabilités du système d'exploitation et des packages de langage de programmation au niveau du registre. Pour plus d'informations sur la façon de consulter vos résultats, consultezGestion des résultats dans Amazon Inspector. Pour savoir comment afficher vos résultats au niveau de l'image, consultez la section Numérisation d'images dans le guide de l'utilisateur d'Amazon Elastic Container Registry. Vous pouvez également gérer les résultats qui AWS services ne sont pas disponibles pour la numérisation de base, comme AWS Security Hub Amazon EventBridge.

Pour plus d'informations sur la façon d'activer le ECR scan Amazon, consultezActivation d'un type de scan. Cette section fournit des informations sur le ECR scan Amazon et décrit comment configurer le scan amélioré pour les ECR référentiels Amazon.

Comportements de scan pour Amazon ECR Scanning

Lorsque vous activez la ECR numérisation pour la première fois et que votre référentiel est configuré pour une numérisation continue, Amazon Inspector détecte toutes les images éligibles que vous avez publiées dans les 30 jours ou que vous avez extraites au cours des 90 derniers jours. Amazon Inspector analyse ensuite les images détectées et définit leur statut de numérisation suractive. Amazon Inspector continue de surveiller les images tant qu'elles ont été envoyées ou extraites au cours des 90 derniers jours (par défaut), ou pendant la durée de nouvelle ECR analyse que vous avez configurée. Pour plus d’informations, consultez Configuration de la durée de la ECR nouvelle analyse.

Pour une analyse continue, Amazon Inspector lance de nouvelles analyses de vulnérabilité des images de conteneurs dans les situations suivantes :

  • Chaque fois qu'une nouvelle image de conteneur est envoyée.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément commun relatif aux vulnérabilités et expositions (CVE) à sa base de données, qui CVE est pertinent pour cette image de conteneur (numérisation continue uniquement).

Si vous configurez votre dépôt pour la numérisation instantanée, les images ne sont numérisées que lorsque vous les envoyez.

Vous pouvez vérifier la date à laquelle une image de conteneur a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Images du conteneur sur la page de gestion du compte, ou en utilisant le ListCoverageAPI. Amazon Inspector met à jour le champ Dernière numérisation d'une ECR image Amazon en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue la numérisation initiale d'une image de conteneur.

  • Lorsqu'Amazon Inspector analyse à nouveau une image de conteneur parce qu'un nouvel élément commun relatif aux vulnérabilités et expositions (CVE) ayant un impact sur cette image de conteneur a été ajouté à la base de données Amazon Inspector.

Systèmes d'exploitation et types de supports pris en charge

Pour plus d'informations sur les systèmes d'exploitation pris en charge, consultezSystèmes d'exploitation pris en charge pour Amazon ECR Scanning.

Les scans des ECR référentiels Amazon par Amazon Inspector couvrent les types de supports pris en charge suivants :

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    Note

    Les images à gratter et "application/vnd.docker.distribution.manifest.list.v2+json" les images ne sont pas prises en charge.

Configuration de l'analyse améliorée pour les ECR référentiels Amazon

Lorsque vous activez les scans Amazon Inspector pour les images de ECR conteneurs Amazon, vous modifiez le paramètre de configuration de numérisation de votre registre privé, passant de la numérisation de base à la numérisation améliorée. L'analyse de base utilise la base de données Common Vulnerabilities and Exposures du projet open source Clair. L'analyse améliorée s'intègre à Amazon Inspector et permet une analyse automatique et continue de vos référentiels.

Avec le scan de base, vous configurez vos référentiels pour qu'ils soient scannés en mode push, ou vous effectuez des scans manuels. Grâce à l'analyse améliorée, Amazon Inspector analyse les images de vos conteneurs pour détecter les vulnérabilités du système d'exploitation et des packages de langage de programmation. Pour plus d'informations, consultez Amazon Inspector FAQs, qui side-by-side compare les différences entre le scan de base et le scan amélioré.

Vous pouvez gérer les paramètres de numérisation améliorée au niveau du référentiel dansECR. Vous pouvez choisir entre le scan push ou le scan continu. Lors de la numérisation push, la numérisation ne numérise que lorsque vous appuyez sur une image. La numérisation continue inclut les scans instantanés et les rescans automatisés. Vous pouvez affiner le champ d'application des deux options à l'aide de filtres d'inclusion.

Note

Lorsque vous activez les scans Amazon Inspector pour les images de ECR conteneurs Amazon, le scan continu est activé. Vous pouvez toutefois désélectionner cette option pour appliquer des filtres de numérisation dans la console.

Pour configurer vos paramètres de numérisation améliorés

  1. Connectez-vous à l'aide de vos informations d'identification.

  2. Ouvrez la ECR console Amazon à l'adresse https://console.aws.amazon.com/ecr/.

  3. Dans le menu déroulant du Région AWS sélecteur, sélectionnez le Région AWS avec les référentiels que vous analysez.

  4. Dans le volet de navigation, choisissez Registre privé, puis Paramètres.

  5. Sous Numérisation, choisissez Modifier, puis Numérisation améliorée.

  6. (Facultatif) Désélectionnez Analyser en continu tous les référentiels pour configurer l'analyse continue et les filtres d'analyse push.

  7. Confirmez vos choix, puis choisissez Enregistrer.

Configuration de la durée de la ECR nouvelle analyse

Le paramètre de durée de ECR nouvelle numérisation détermine la durée pendant laquelle Amazon Inspector surveille en permanence les images des conteneurs dans les référentiels. Vous pouvez configurer la durée de nouvelle numérisation pour la date de diffusion de l'image et la date d'extraction de l'image. La durée d'analyse par défaut pour les nouveaux comptes, y compris les nouveaux comptes ajoutés à une organisation, est de 90 jours.

Durée de la date de diffusion de l'image

La durée de la date de diffusion des images détermine la durée pendant laquelle Amazon Inspector surveille en permanence les images après leur transfert vers des référentiels après la dernière date d'extraction. Les options suivantes sont disponibles sous forme de durées de nouvelle numérisation :

  • 14 jours

  • 30 jours

  • 60 jours

  • 90 jours (par défaut)

  • 180 jours

  • Durée de vie

Durée de la date d'extraction de l'image

La durée de la date d'extraction des images détermine la durée pendant laquelle Amazon Inspector surveille en permanence les images après la dernière date d'extraction. Les options suivantes sont disponibles sous forme de durées de nouvelle numérisation :

  • 14 jours

  • 30 jours

  • 60 jours

  • 90 jours (par défaut)

  • 180 jours

Amazon Inspector continuera de surveiller et de scanner à nouveau une image tant qu'elle a été poussée ou extraite dans les délais de diffusion et d'extraction configurés. Si l'image n'a pas été envoyée ou extraite dans les délais d'envoi et d'extraction configurés, Amazon Inspector arrête de la surveiller.

Note

Lorsqu'Amazon Inspector arrête de surveiller une image, il définit le code d'état de numérisation de l'image sur inactive et le code de motif surexpired. Il planifie ensuite la fermeture de tous les résultats d'image associés.

Définissez la durée de la nouvelle analyse en fonction de votre environnement. Par exemple, si vous créez souvent des images, choisissez une durée de numérisation plus courte. De même, si vous utilisez des images pendant de longues périodes, choisissez une durée de numérisation plus longue.

Lorsque vous configurez la durée de la nouvelle analyse à partir d'un compte d'administrateur délégué, Amazon Inspector applique le paramètre à tous les comptes membres de l'organisation.

Pour configurer la durée de la ECR nouvelle analyse

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Dans le volet de navigation, choisissez Paramètres généraux, puis sélectionnez Paramètres de ECR numérisation.

  3. Dans les paramètres de ECR numérisation, sous Durée de ECR nouvelle numérisation, choisissez la durée de diffusion de l'image et la durée de la date d'extraction de l'image que vous souhaitez définir.

  4. Choisissez Enregistrer. Vos nouveaux paramètres sont appliqués immédiatement.

Note

Si vous augmentez la durée de la date de diffusion, Amazon Inspector applique la modification à toutes les images activement numérisées dans des référentiels configurés pour une numérisation continue. Cependant, les images inactives restent inactives, même si vous les avez transférées pendant la nouvelle durée.