Amazon ECR で OS とプログラミング言語のパッケージの脆弱性を調べるためのイメージのスキャン - Amazon ECR

Amazon ECR で OS とプログラミング言語のパッケージの脆弱性を調べるためのイメージのスキャン

Amazon ECR 拡張スキャンは、コンテナイメージの脆弱性スキャンを提供する Amazon Inspector との統合です。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。スキャンの結果は、Amazon ECR と Amazon Inspector の両方で直接表示できます。Amazon Inspector の詳細については、Amazon Inspector ユーザーガイドScanning container images with Amazon Inspector を参照してください。

拡張スキャンでは、自動連続スキャン用に構成するリポジトリと、プッシュ時にスキャンするように構成するリポジトリを選択できます。これは、スキャンフィルターを設定することによって行われます。

拡張スキャンの考慮事項

Amazon ECR 拡張スキャンを有効にする前に、以下の点について考慮してください。

  • この機能を使用するために Amazon ECR に追加料金はかかりませんが、イメージをスキャンするために Amazon Inspector の料金がかかります。詳細については、「Amazon Inspector の料金」を参照してください。

  • 次のリージョンでは、拡張スキャンはサポートされていません。

    • 中東 (アラブ首長国連邦) (me-central-1)

    • アジアパシフィック (ハイデラバード) (ap-south-2)

    • イスラエル (テルアビブ) (il-central-1)

    • アジアパシフィック (メルボルン) (ap-southeast-4)

    • 欧州 (スペイン) (eu-south-2)

  • Amazon Inspector では特定のオペレーティングシステムのスキャンがサポートされます。完全なリストについては、Amazon Inspector ユーザーガイドの「サポートされているオペレーティングシステム - Amazon ECR スキャン」を参照してください。

  • Amazon Inspector は、サービスにリンクされた IAM ロールを使用します。このロールは、リポジトリに対する拡張スキャンを行うのに必要なアクセス許可を提供します。プライベートレジストリで拡張スキャンがオンになっている場合、サービスにリンクされた IAM ロールは Amazon Inspector によって自動的に作成されます。詳細については、「Amazon Inspector ユーザーガイド」の「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

  • プライベートレジストリに対して拡張スキャンを初めて有効にした場合、Amazon Inspector は、イメージのプッシュタイムスタンプに基づいて、過去 30 日以内に Amazon ECR にプッシュされたイメージまたは過去 90 日以内にプルされたイメージのみを認識します。古い画像は SCAN_ELIGIBILITY_EXPIRED スキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。

  • 拡張スキャンをオンにした後に Amazon ECR にプッシュされたすべての画像は、設定された期間、継続してスキャンされます。デフォルトでは、有効期間は [一生] です。この設定は、Amazon Inspector コンソールを使用して設定できます。詳細については、「Amazon Inspector でのイメージの拡張スキャン期間の変更」を参照してください。

  • Amazon ECR プライベートレジストリで拡張スキャンがオンになっている場合、スキャンフィルターに一致するリポジトリは、拡張スキャンのみを使用してスキャンされます。フィルターと一致しないリポジトリのスキャン頻度は Off であり、スキャンされません。拡張スキャンを使用した手動スキャンはサポートされていません。詳細については、「Amazon ECR でスキャンするリポジトリを選択するためのフィルター」を参照してください。

  • 複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。

  • 拡張スキャンがオンになっている場合、リポジトリのスキャン頻度が変更されると、Amazon ECR は EventBridge にイベントを送信します。Amazon Inspector は、初期スキャンが完了したとき、およびイメージスキャン結果が作成、更新、または閉じられたときに、EventBridge にイベントを発行します。