Amazon Inspector による Amazon ECR コンテナイメージのスキャン - Amazon Inspector
Amazon ECR スキャンのスキャン動作サポートされているオペレーティングシステムとメディアタイプAmazon ECR リポジトリの拡張スキャンの設定ECR の再スキャン期間

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon ECR コンテナイメージのスキャン

Amazon Inspector は、Amazon ECR に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ 脆弱性の検出結果を生成します。これらの問題について生成される結果のタイプについては、「Amazon Inspector での 検出結果タイプ」を参照してください。

Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供するデフォルトの基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。

Amazon Inspector が提供する拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、 や AWS Security Hub Amazon など、基本的なスキャンの検出結果では利用できない他のサービスでこれらの検出結果を確認して操作できます EventBridge。Amazon Inspector コンソールの https://console.aws.amazon.com/inspector/v2/home でスキャンによって検出された結果を表示できます。検出結果の操作の詳細については、「Amazon Inspector での検出結果の管理」を参照してください。

Amazon ECR スキャンをアクティブ化する手順については、「スキャンタイプをアクティブ化する」を参照してください。

Amazon ECR スキャンのスキャン動作

ECR スキャンを初めてアクティブ化し、リポジトリが連続スキャン用に設定されている場合、Amazon Inspector は 30 日以内にプッシュした、または過去 90 日以内にプルされたすべての対象イメージを検出します。次に、Amazon Inspector は検出されたイメージをスキャンし、そのスキャンステータスを に設定しますactive。Amazon Inspector は、過去 90 日間 (デフォルトで) または設定した ECR 再スキャン期間内にプッシュまたはプルされたイメージを引き続きモニタリングします。詳細については、「ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は次の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

プッシュ時スキャン用にリポジトリを設定すると、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「Amazon ECR スキャンでサポートされているオペレーティングシステム」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注記

    スクラッチイメージと DockerV2ListMediaType イメージはサポートされていません。

Amazon ECR リポジトリの拡張スキャンの設定

Amazon ECR コンテナイメージの Amazon Inspector スキャンをアクティブ化すると、プライベートレジストリのスキャン設定が変更されます。レジストリのスキャンタイプが、[基本的なスキャン] から Amazon Inspector が提供する [拡張スキャン] に変更されました。詳細については、「Amazon ECR ユーザーガイド」の「イメージスキャン」を参照してください。

ECR のリポジトリレベルで拡張スキャンの設定を管理できます。リポジトリの継続的スキャンまたはオンプッシュスキャンを選択できます。継続的スキャンには、オンプッシュスキャンと自動再スキャンが含まれます。オンプッシュスキャンは、最初にイメージをプッシュしたときにのみスキャンされます。どちらのオプションでも、包含フィルターを使用してスキャン範囲を絞り込むことができます。デフォルトでは、拡張スキャンを初めてアクティブ化すると、設定は [すべてのリポジトリを継続的にスキャン] に設定されます。

拡張スキャンの設定を行うには

  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターで、スキャンするリポジトリがあるリージョンを選択します。

  3. ナビゲーションペインで、[プライベートレジストリ][スキャン] の順に選択します。

  4. [スキャンタイプ][拡張スキャン] が選択されていることを確認します。選択されていない場合は、[拡張スキャン] を選択します。

    デフォルトでは、[すべてのリポジトリを継続的にスキャン] オプションが選択されています。これにより、すべてのリポジトリの Amazon Inspector スキャン範囲が完全に有効になります。

  5. [すべてのリポジトリを継続的にスキャン] を選択解除して、どのリポジトリを継続的にスキャンするか、またはプッシュ時にスキャンするかをフィルタリングします。

拡張スキャンの設定の詳細については、「Amazon ECR ユーザーガイド」の「拡張スキャンの使用」を参照してください。

ECR 再スキャン期間の設定

ECR 再スキャン期間設定は、Amazon Inspector がリポジトリ内のコンテナイメージを継続的にモニタリングする期間を決定します。イメージのプッシュ日とイメージのプル日の再スキャン期間を設定できます。組織に追加された新しいアカウントを含め、新しいアカウントのデフォルトのスキャン期間は 90 日です。

イメージプッシュ日期間

イメージのプッシュ日は、最新のプル日以降にリポジトリにプッシュされた後、Amazon Inspector がイメージを継続的にモニタリングする期間を決定します。再スキャン期間として、次のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

  • 有効期間

イメージのプル日期間

イメージのプル日期間は、最新のプル日以降に Amazon Inspector がイメージを継続的にモニタリングする期間を決定します。再スキャン期間として、次のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

Amazon Inspector は、設定されたプッシュおよびプルの日付内にプッシュまたはプルされている限り、イメージを引き続きモニタリングして再スキャンします。設定されたプッシュおよびプルの日付内にイメージがプッシュまたはプルされていない場合、Amazon Inspector はイメージのモニタリングを停止します。

注記

Amazon Inspector は、イメージのモニタリングを停止すると、イメージスキャンステータスコードを に設定inactiveし、理由コードを に設定しますexpired。次に、関連するすべてのイメージの検出結果がクローズされるようにスケジュールされます。

環境に最適な再スキャン期間を設定します。例えば、イメージを頻繁に構築する場合は、スキャン時間を短くします。同様に、イメージを長期間使用する場合は、より長いスキャン期間を選択します。

委任管理者アカウントから再スキャン期間を設定すると、Amazon Inspector は組織内のすべてのメンバーアカウントにその設定を適用します。

ECR の再スキャン期間を設定するには

  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインで、全般設定 を選択し、ECR スキャン設定 を選択します。

  3. ECR スキャン設定 では、ECR 再スキャン期間 で、設定するイメージプッシュ期間とイメージプル期間を選択します。

  4. [保存] を選択します。新しい設定はすぐに適用されます。

注記

プッシュ日の期間を長くすると、Amazon Inspector は継続的スキャン用に設定されたリポジトリ内のすべてのアクティブにスキャンされたイメージに変更を適用します。ただし、非アクティブなイメージは、新しい期間内にプッシュした場合でも、非アクティブのままになります。