翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
イメージスキャン
| 改善された基本スキャン機能は Amazon ECR のプレビューリリース中であり、変更される可能性があります。このパブリックプレビューでは、 AWS Management Console を使用して改良版ベーシックスキャンバージョンをオプトインすることしかできません。 |
Amazon ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。次のスキャンタイプが提供されています。
重要
拡張スキャン、ベーシックスキャン、改良型ベーシックスキャンバージョンを切り替えると、以前に確立されたスキャンは使用できなくなります。スキャンの設定を再度行う必要があります。ただし、以前のスキャンバージョンに戻すと、確立されたスキャンが使用可能になります。
-
拡張スキャン— Amazon ECR は Amazon Inspector と統合され、リポジトリの自動継続的なスキャンを提供します。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。新しい脆弱性が出現すると、スキャン結果が更新され、Amazon Inspector EventBridge がイベントを発行してユーザーに通知します。拡張スキャンでは以下の機能が提供されます。
-
OS とプログラミング言語パッケージの脆弱性。
-
2 つのスキャン頻度:プッシュスキャンと連続スキャン。
-
-
ベーシックスキャン — Amazon ECR には、共通脆弱性と暴露 (CVE) データベースを使用するベーシックスキャンの 2 つのバージョンがあります。1 つはオープンソースの Clair プロジェクトを使用する現在の GA バージョンで、もう 1 つはネイティブテクノロジーを使用するベーシックスキャンの新しく改良されたバージョン (プレビュー中) です。 AWS ベーシックスキャンでは、プッシュ時にスキャンするようにリポジトリを設定します。手動スキャンを実行すると Amazon ECR によってスキャン結果のリストが提供されます。ベーシックスキャンには以下の機能があります。
-
OS スキャン。
-
2 つのスキャン頻度:手動スキャンとプッシュ時スキャン。
重要
新しいバージョンのベーシックスキャンは
DescribeImagesAPIimageScanFindingsSummaryimageScanStatusではとをサポートしていません。これらを表示するにはDescribeImageScanFindingsAPI を使用してください。
-
フィルターの使用
プライベートレジストリに対してイメージスキャンタイプが設定されている場合、すべてのリポジトリをスキャンするように指定したり、スキャンするリポジトリをスコープ設定するフィルターを指定したりできます。
基本スキャンが使用されている場合は、プッシュフィルターでスキャンを指定して、新しいイメージがプッシュされたときにイメージスキャンを実行するように設定されるリポジトリを指定できます。プッシュフィルターの基本的スキャンのスキャンと一致しないリポジトリは、マニュアルスキャン頻度に設定されます。これは、スキャンを実行する場合、手動でスキャンをトリガーする必要があります。
強化スキャンが使用されている場合は、プッシュ時のスキャンと連続スキャン用に別々のフィルターを指定できます。拡張スキャンフィルターに一致しないリポジトリでは、スキャンが無効になります。拡張スキャンを使用し、複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。
フィルターを指定すると、ワイルドカードを含まないフィルターは、そのフィルターを含むすべてのリポジトリ名と一致します。ワイルドカード (*) を含むフィルターは、リポジトリ名のゼロ文字以上の文字をワイルドカードで置き換える任意のリポジトリ名と一致します。次の表に、リポジトリ名を横軸に表し、フィルターの例を縦軸に指定する例を示します。
|
prod |
repo-prod |
prod-repo |
repo-prod-repo |
prodrepo |
|
|---|---|---|---|---|---|
|
prod |
|
|
|
|
|
|
*prod |
|
|
|
|
|
|
prod* |
|
|
|
|
|
|
*prod* |
|
|
|
|
|
|
prod*repo |
|
|
|
|
|
