Amazon ECR で OS とプログラミング言語パッケージの脆弱性についてイメージをスキャンする - Amazon ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR で OS とプログラミング言語パッケージの脆弱性についてイメージをスキャンする

Amazon ECR 拡張スキャンは、コンテナイメージの脆弱性スキャンを提供する Amazon Inspector との統合です。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。スキャンの結果は、Amazon ECR と Amazon Inspector の両方で直接表示できます。Amazon Inspector の詳細については、Amazon Inspector ユーザーガイドScanning container images with Amazon Inspector を参照してください。

拡張スキャンでは、自動連続スキャン用に構成するリポジトリと、プッシュ時にスキャンするように構成するリポジトリを選択できます。これは、スキャンフィルターを設定することによって行われます。

拡張スキャンの考慮事項

Amazon ECR 拡張スキャンを有効にする前に、次の点を考慮してください。

  • この機能を使用するために Amazon ECR に追加料金はかかりませんが、イメージをスキャンするために Amazon Inspector の料金がかかります。詳細については、「Amazon Inspector の料金」を参照してください。

  • 次のリージョンでは、拡張スキャンはサポートされていません。

    • 中東 (アラブ首長国連邦) (me-central-1)

    • アジアパシフィック (ハイデラバード) (ap-south-2)

    • イスラエル (テルアビブ) (il-central-1)

    • アジアパシフィック (メルボルン) (ap-southeast-4)

    • 欧州 (スペイン) (eu-south-2)

  • Amazon Inspector では特定のオペレーティングシステムのスキャンがサポートされます。完全なリストについては、Amazon Inspector ユーザーガイドの「サポートされているオペレーティングシステム - Amazon ECR スキャン」を参照してください。

  • Amazon Inspector は、サービスにリンクされた IAM ロールを使用します。このロールは、リポジトリに対する拡張スキャンを行うのに必要なアクセス許可を提供します。プライベートレジストリで拡張スキャンがオンになっている場合、サービスにリンクされた IAM ロールは Amazon Inspector によって自動的に作成されます。詳細については、「Amazon Inspector ユーザーガイド」の「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

  • プライベートレジストリの拡張スキャンを最初に有効にすると、Amazon Inspector は、イメージプッシュタイムスタンプに基づいて、過去 30 日間に Amazon ECR にプッシュされたイメージ、または過去 90 日間にプルされたイメージのみを認識します。古い画像は SCAN_ELIGIBILITY_EXPIRED スキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。

  • 拡張スキャンをオンにした後に Amazon ECR にプッシュされたすべての画像は、設定された期間、継続してスキャンされます。デフォルトでは、有効期間は [一生] です。この設定は、Amazon Inspector コンソールを使用して設定できます。詳細については、「Amazon Inspector でのイメージの拡張スキャン期間の変更」を参照してください。

  • Amazon ECR プライベートレジストリで拡張スキャンがオンになっている場合、スキャンフィルターに一致するリポジトリは、拡張スキャンのみを使用してスキャンされます。フィルターと一致しないリポジトリのスキャン頻度は Off であり、スキャンされません。拡張スキャンを使用した手動スキャンはサポートされていません。詳細については、「Amazon ECR でスキャンするリポジトリを選択するフィルター」を参照してください。

  • 複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。

  • 拡張スキャンがオンになっている場合、Amazon ECR はリポジトリのスキャン頻度が変更され EventBridge ると にイベントを送信します。Amazon Inspector は、最初のスキャンが完了した EventBridge とき、およびイメージスキャンの結果が作成、更新、または閉じられたときに にイベントを発行します。