Pindai gambar untuk kerentanan paket OS dan bahasa pemrograman di Amazon ECR - Amazon ECR
Pertimbangan untuk pemindaian yang ditingkatkanMengubah durasi pemindaian yang ditingkatkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pindai gambar untuk kerentanan paket OS dan bahasa pemrograman di Amazon ECR

Pemindaian Amazon ECR yang disempurnakan adalah integrasi dengan Amazon Inspector yang menyediakan pemindaian kerentanan untuk gambar kontainer Anda. Gambar kontainer Anda dipindai untuk sistem operasi dan kerentanan paket bahasa pemrograman. Anda dapat melihat temuan pemindaian dengan Amazon ECR dan dengan Amazon Inspector secara langsung. Untuk informasi selengkapnya tentang Amazon Inspector, lihat Memindai gambar kontainer dengan Amazon Inspector di Panduan Pengguna Amazon Inspector.

Dengan pemindaian yang disempurnakan, Anda dapat memilih repositori mana yang dikonfigurasi untuk pemindaian otomatis dan berkelanjutan dan mana yang dikonfigurasi untuk pemindaian saat push. Ini dilakukan dengan mengatur filter pemindaian.

Pertimbangan untuk pemindaian yang ditingkatkan

Pertimbangkan hal berikut sebelum mengaktifkan pemindaian Amazon ECR yang disempurnakan.

  • Tidak ada biaya tambahan dari Amazon ECR untuk menggunakan fitur ini, namun ada biaya dari Amazon Inspector untuk memindai gambar Anda. Fitur ini tersedia di Wilayah di mana Amazon Inspector didukung. Untuk informasi selengkapnya, lihat:

  • Pemindaian Amazon ECR yang disempurnakan menunjukkan bagaimana gambar digunakan di Amazon EKS dan Amazon ECS. Anda dapat melihat kapan gambar terakhir digunakan dan mengidentifikasi berapa banyak cluster yang menggunakan setiap gambar. Informasi ini membantu Anda memprioritaskan remediasi kerentanan untuk gambar yang digunakan secara aktif. Anda dapat dengan cepat menentukan cluster mana yang mungkin terpengaruh oleh kerentanan yang baru ditemukan. Untuk informasi selengkapnya tentang cara meminta informasi ini dan melihat tanggapannya, lihat DescribeImageScanFindings.

  • Amazon Inspector mendukung pemindaian untuk sistem operasi tertentu. Untuk daftar selengkapnya, lihat Sistem operasi yang didukung - Pemindaian Amazon ECR di Panduan Pengguna Amazon Inspector.

  • Amazon Inspector menggunakan peran IAM terkait layanan, yang menyediakan izin yang diperlukan untuk menyediakan pemindaian yang disempurnakan untuk repositori Anda. Peran IAM terkait layanan dibuat secara otomatis oleh Amazon Inspector saat pemindaian yang disempurnakan diaktifkan untuk registri pribadi Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon Inspector di Panduan Pengguna Amazon Inspector.

  • Saat Anda awalnya mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda, Amazon Inspector hanya mengenali gambar yang didorong ke Amazon ECR dalam 14 hari terakhir, berdasarkan stempel waktu push gambar. Gambar yang lebih tua akan memiliki status SCAN_ELIGIBILITY_EXPIRED pemindaian. Jika Anda ingin gambar-gambar ini dipindai oleh Amazon Inspector, Anda harus mendorongnya lagi ke repositori Anda.

  • Saat pemindaian yang disempurnakan diaktifkan untuk registri pribadi Amazon ECR Anda, repositori yang cocok dengan filter pemindaian dipindai hanya menggunakan pemindaian yang disempurnakan. Repositori apa pun yang tidak cocok dengan filter akan memiliki frekuensi Off pemindaian dan tidak akan dipindai. Pemindaian manual menggunakan pemindaian yang disempurnakan tidak didukung. Untuk informasi selengkapnya, lihat Filter untuk memilih repositori mana yang dipindai di Amazon ECR.

  • Jika Anda menentukan filter terpisah untuk pemindaian pada push dan pemindaian berkelanjutan di mana beberapa filter cocok dengan repositori yang sama, maka Amazon ECR memberlakukan filter pemindaian berkelanjutan melalui pemindaian pada filter push untuk repositori tersebut.

  • Saat pemindaian yang ditingkatkan diaktifkan, Amazon ECR mengirimkan peristiwa ke EventBridge saat frekuensi pemindaian untuk repositori diubah. Amazon Inspector memancarkan peristiwa EventBridge saat pemindaian awal selesai dan saat temuan pemindaian gambar dibuat, diperbarui, atau ditutup.

Mengubah durasi pemindaian yang disempurnakan untuk gambar di Amazon Inspector

Setelah mengaktifkan pemindaian yang disempurnakan, Amazon ECR terus memindai gambar yang baru didorong untuk durasi yang dikonfigurasi. Secara default, Amazon Inspector memantau repositori Anda hingga gambar dihapus atau pemindaian yang disempurnakan dinonaktifkan. Anda dapat mengonfigurasi durasi tanggal push (hingga Lifetime) dan durasi pemindaian ulang di konsol Amazon Inspector agar sesuai dengan kebutuhan lingkungan Anda. Ketika durasi pemindaian untuk repositori berlalu, status pemindaian ditampilkan sebagai. SCAN_ELIGIBILITY_EXPIRED Untuk informasi selengkapnya tentang mengonfigurasi setelan durasi pemindaian ulang untuk Amazon ECR di Amazon Inspector, lihat Mengonfigurasi durasi pemindaian ulang Amazon ECR di Panduan Pengguna Amazon Inspector.