イメージスキャン

Amazon ECR イメージスキャンは、コンテナイメージのソフトウェアの脆弱性を特定するのに役立ちます。 Amazon ECR は、オープンソースの Clair プロジェクトから Common Vulnerabilities and Exposures (CVE) データベースを使用し、スキャン所見のリストを提供します。デプロイされているコンテナイメージのセキュリティに関する情報については、スキャンの結果を確認できます。Clair の詳細については、以下を参照してください。 クレア GitHubで

Amazon ECR では、可能であれば、アップストリームのディストリビューションソースからの CVE の重大度 が使用されます。それ以外の場合は、共通脆弱性評価システム (CVSS) スコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、以下を参照してください。 NVD脆弱性の重大度評価.

格納されているコンテナイメージを手動でスキャンできます。 Amazon ECRまたは、リポジトリに画像を押し込んだときに画像をスキャンするようにリポジトリを設定できます。最後に完了した画像スキャンの所見は、各画像に対して取得できます。 Amazon ECR がイベントをに送信 Amazon EventBridge (以前は CloudWatch イベント)の画像スキャンが完了したとき。詳細については、「」を参照してください。Amazon ECR イベントと EventBridge.

イメージをスキャンする際の一般的な問題のトラブルシューティングの詳細については、「」を参照してください。イメージスキャンの問題のトラブルシューティング.

プッシュ時にスキャンするようにリポジトリを設定する

イメージスキャン設定は、作成時に新しいリポジトリに対しても、既存のリポジトリに対しても設定できます。いつ プッシュでスキャン が有効の場合、リポジトリにプッシュされた後、イメージがスキャンされます。次の場合: プッシュでスキャン はリポジトリで無効にされています。スキャン結果を取得するには、各画像スキャンを手動で開始する必要があります。

トピック

• プッシュ時にスキャンするように新しいリポジトリを作成する
• プッシュ時にスキャンするよう既存のリポジトリを設定する

プッシュ時にスキャンするように新しいリポジトリを作成する

新しいリポジトリが プッシュでスキャン、リポジトリにプッシュされたすべての新しい画像がスキャンされます。最後に完了したイメージスキャンの結果を取得できます。詳細については、「」を参照してください。イメージスキャン結果の取得.

の手順については、「AWS マネジメントコンソール」を参照してください。リポジトリの作成.

プッシュ時にスキャンするように設定されたリポジトリを作成するには (AWS CLI)

次のコマンドを使用し、イメージを使用して新しいリポジトリを作成します。 プッシュでスキャン 設定されています。

• create-repository (AWS CLI)

  aws ecr create-repository --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2

プッシュ時にスキャンするように設定されたリポジトリを作成するには (AWS Tools for Windows PowerShell)

次のコマンドを使用し、イメージを使用して新しいリポジトリを作成します。 プッシュでスキャン 設定されています。

• New-ECRRepository (AWS Tools for Windows PowerShell)

  New-ECRRepository -RepositoryName name -ImageScanningConfiguration_ScanOnPush true -Region us-east-2 -Force

プッシュ時にスキャンするよう既存のリポジトリを設定する

既存のリポジトリは、イメージをリポジトリにプッシュするときにスキャンするように設定できます。この設定は、今後のイメージプッシュに適用されます。最後に完了したイメージスキャンの結果を取得できます。詳細については、「」を参照してください。イメージスキャン結果の取得.

の手順については、「AWS マネジメントコンソール」を参照してください。リポジトリの編集.

既存のリポジトリの設定を編集するには (AWS CLI)

既存のリポジトリのイメージスキャン設定を編集するには、次のコマンドを使用します。

• put-image-scanning-configuration (AWS CLI)

  aws ecr put-image-scanning-configuration --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2

  注記

  画像を無効にするには プッシュでスキャン リポジトリの、指定 scanOnPush=false.

既存のリポジトリの設定を編集するには (AWS Tools for Windows PowerShell)

既存のリポジトリのイメージスキャン設定を編集するには、次のコマンドを使用します。

• New-ECRRepository (AWS Tools for Windows PowerShell)

  Write-ECRImageScanningConfiguration -RepositoryName name -ImageScanningConfiguration_ScanOnPush true -Region us-east-2 -Force

イメージの手動スキャン

画像スキャンは、 プッシュでスキャン. イメージは 1 日に 1 回しかスキャンできません。この制限には、 プッシュでスキャン(有効になっている場合)、および手動スキャン。

イメージをスキャンする際の一般的な問題のトラブルシューティングの詳細については、「」を参照してください。イメージスキャンの問題のトラブルシューティング.

イメージの手動スキャンを開始するには (コンソール)

を使用して手動イメージスキャンを開始するには、次の手順を実行します。AWS マネジメントコンソール.

1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/repositories) を開きます。

2. ナビゲーションバーから、リポジトリを作成するリージョンを選択します。

3. ナビゲーションペインで、 リポジトリ.

4. の リポジトリ ページを開き、スキャンする画像を含むリポジトリを選択します。

5. の 画像 ページで、スキャンする画像を選択し、 スキャン.

イメージの手動スキャンを開始するには (AWS CLI)

イメージの手動スキャンを開始するには、次の AWS CLI コマンドを使用します。イメージは、 imageTag または imageDigest、どちらも リスト-画像 CLI コマンド。

• start-image-scan (AWS CLI)

  次の例では、イメージタグを使用しています。

  aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2

  次の例では、イメージダイジェストを使用しています。

  aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2

イメージの手動スキャンを開始するには (AWS Tools for Windows PowerShell)

イメージの手動スキャンを開始するには、次の AWS Tools for Windows PowerShell コマンドを使用します。イメージは、 ImageId_ImageTag または ImageId_ImageDigest、どちらも Get-ECR画像 CLI コマンド。

• Get-ECRImageScanFinding (AWS Tools for Windows PowerShell)

  次の例では、イメージタグを使用しています。

  Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force

  次の例では、イメージダイジェストを使用しています。

  Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force

イメージスキャン結果の取得

最後に完了したイメージスキャンのスキャン結果を取得できます。結果には、検出されたソフトウェアの脆弱性が、共通の脆弱性およびエクスポージャー (CVE) データベースに基づく重大度別に一覧表示されます。

イメージをスキャンする際の一般的な問題のトラブルシューティングの詳細については、「」を参照してください。イメージスキャンの問題のトラブルシューティング.

イメージスキャンの結果を取得するには (コンソール)

を使用してイメージスキャンの結果を取得する手順は、次のとおりです。AWS マネジメントコンソール.

1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/repositories) を開きます。

2. ナビゲーションバーから、リポジトリを作成するリージョンを選択します。

3. ナビゲーションペインで、 リポジトリ.

4. の リポジトリ ページでは、スキャン所見を取得する画像を含むリポジトリを選択します。

5. の 画像 ページ、 脆弱性 列、選択 詳細 画像のスキャン所見を取得するため。

イメージスキャンの結果を取得するには (AWS CLI)

以下を使用します AWS CLI コマンドを使用して、 AWS CLI. イメージは、 imageTag または imageDigest、どちらも リスト-画像 CLI コマンド。

• describe-image-scan-findings (AWS CLI)

  次の例では、イメージタグを使用しています。

  aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2

  次の例では、イメージダイジェストを使用しています。

  aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2

イメージスキャンの結果を取得するには (AWS Tools for Windows PowerShell)

以下の AWS Tools for Windows PowerShell コマンドを使用して、イメージスキャンの結果を取得します。イメージは、 ImageId_ImageTag または ImageId_ImageDigest、どちらも Get-ECR画像 CLI コマンド。

• Get-ECRImageScanFinding (AWS Tools for Windows PowerShell)

  次の例では、イメージタグを使用しています。

  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2

  次の例では、イメージダイジェストを使用しています。

  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2