Amazon Inspector を使用した Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector
Amazon スキャンのECRスキャン動作サポートされているオペレーティングシステムとメディアタイプAmazon ECRリポジトリの拡張スキャンの設定ECR 再スキャン期間

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector を使用した Amazon Elastic Container Registry コンテナイメージのスキャン

Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないか調べ、パッケージの脆弱性の検出結果を生成します。Amazon ECRスキャンを有効にすると、プライベートレジストリの優先スキャンサービスとして Amazon Inspector が設定されます。つまり、プライベートレジストリのスキャン設定を基本スキャンから拡張スキャンに変更します。 https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html

注記

ベーシックスキャンは Amazon を通じて提供され、請求されますECR。詳細については、「Amazon Elastic Container Registry の料金」を参照してください。拡張スキャンは Amazon Inspector を通じて提供され、請求されます。詳細については、「Amazon Inspector の料金」を参照してください。

拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。検出結果を表示する方法については、「」を参照してくださいAmazon Inspector での検出結果の管理。イメージレベルで結果を表示する方法については、Amazon Elastic Container Registry ユーザーガイドの「イメージスキャン」を参照してください。 また、 AWS Security Hub や Amazon EventBridge など、ベーシックスキャンに AWS サービス 使用できない の検出結果を管理することもできます。

Amazon ECRスキャンをアクティブ化する方法については、「」を参照してくださいスキャンタイプをアクティブ化する。このセクションでは、Amazon ECRスキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。

Amazon スキャンのECRスキャン動作

最初にECRスキャンをアクティブ化し、リポジトリが連続スキャン用に設定されている場合、Amazon Inspector は 30 日以内にプッシュした、または過去 90 日以内にプルしたすべての対象イメージを検出します。次に、Amazon Inspector は検出されたイメージをスキャンし、そのスキャンステータスを に設定しますactive。Amazon Inspector は、過去 90 日間 (デフォルトでは) または設定したECR再スキャン期間内にプッシュまたはプルされたイメージを引き続きモニタリングします。詳細については、「ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は次のような状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector CVEがデータベースに新しい一般的な脆弱性と露出 (CVE) 項目を追加し、そのコンテナイメージに関連する (継続的なスキャンのみ) 場合。

プッシュスキャン時にリポジトリを設定すると、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性が最後にチェックされたのは、アカウント管理ページのコンテナイメージタブから、または ListCoverage を使用して確認できますAPI。Amazon Inspector は、次のイベントに応答して、Amazon ECRイメージの フィールドで最後にスキャンされた を更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • コンテナイメージに影響する新しい一般的な脆弱性と露出 (CVE) 項目が Amazon Inspector データベースに追加されたためにAmazon Inspector がコンテナイメージを再スキャンしたとき。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「Amazon ECRスキャンでサポートされているオペレーティングシステム」を参照してください。

Amazon リポジトリの Amazon Inspector スキャンでは、以下のサポートされているメディアタイプがカバーされます。 ECR

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注記

    スクラッチイメージと "application/vnd.docker.distribution.manifest.list.v2+json" イメージはサポートされていません。

Amazon ECRリポジトリの拡張スキャンの設定

Amazon Inspector の Amazon ECRコンテナイメージのスキャンを有効にすると、プライベートレジストリのスキャン設定が基本スキャンから拡張スキャン に変更されます。基本スキャンでは、オープンソースの Clair プロジェクトの共通脆弱性識別子データベースを使用します。拡張スキャンは Amazon Inspector と統合され、リポジトリの自動的かつ継続的なスキャンを提供します。

ベーシックスキャンでは、プッシュ時にスキャンするようにリポジトリを設定するか、手動スキャンを実行します。拡張スキャンを使用すると、Amazon Inspector はコンテナイメージをスキャンしてオペレーティングシステムとプログラミング言語パッケージの脆弱性がないか調べます。詳細については、Amazon Inspector FAQs」を参照してください。Amazon Inspector では、基本スキャンと拡張スキャンの違い side-by-side を比較しています。

拡張スキャンの設定は、 のリポジトリレベルで管理できますECR。プッシュスキャンまたは連続スキャンを選択できます。プッシュスキャンでは、イメージをプッシュする場合にのみスキャンします。継続的スキャンには、オンプッシュスキャンと自動再スキャンが含まれます。包含フィルター を使用して、両方のオプションの範囲を絞り込むことができます。

注記

Amazon Inspector で Amazon ECRコンテナイメージのスキャンを有効にすると、連続スキャンが有効になります。ただし、このオプションの選択を解除すると、コンソールでスキャンフィルターを適用できます。

拡張スキャンの設定を行うには

  1. 認証情報を使用してサインインします。

  2. で Amazon ECRコンソールを開きますhttps://console.aws.amazon.com/ecr/

  3. AWS リージョン セレクタードロップダウンメニューから、スキャンするリポジトリ AWS リージョン がある を選択します。

  4. ナビゲーションペインから、プライベートレジストリ を選択し、設定 を選択します。

  5. スキャン で編集 を選択し、次に拡張スキャン を選択します。

  6. (オプション) すべてのリポジトリの継続的スキャンの選択を解除して、継続的スキャンとオンプッシュスキャンフィルターを設定します。

  7. 選択内容を確認し、保存 を選択します。

ECR 再スキャン期間の設定

ECR 再スキャン期間設定は、Amazon Inspector がリポジトリ内のコンテナイメージを継続的にモニタリングする期間を決定します。イメージのプッシュ日とイメージのプル日の再スキャン期間を設定できます。組織に追加された新しいアカウントを含む、新しいアカウントのデフォルトのスキャン期間は 90 日間です。

イメージのプッシュ日の期間

イメージのプッシュ日の期間によって、Amazon Inspector が最新のプル日以降にリポジトリにプッシュされた後にイメージを継続的にモニタリングする期間が決まります。再スキャン期間として以下のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

  • 有効期間

イメージのプル日の期間

イメージのプル日期間はAmazon Inspector が最新のプル日以降にイメージを継続的にモニタリングする期間を決定します。再スキャン期間として以下のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

Amazon Inspector は、設定されたプッシュおよびプル日内にプッシュまたはプルされている限り、イメージのモニタリングと再スキャンを続行します。設定されたプッシュおよびプル日内にイメージがプッシュまたはプルされていない場合、Amazon Inspector はイメージのモニタリングを停止します。

注記

Amazon Inspector がイメージのモニタリングを停止すると、イメージスキャンステータスコードを に設定inactiveし、理由コードを に設定しますexpired。次に、関連するすべての画像検出結果をクローズするようにスケジュールします。

環境に最適な再スキャン期間を設定します。例えば、イメージを頻繁に構築する場合は、短いスキャン時間を選択します。同様に、イメージを長期間使用する場合は、より長いスキャン期間を選択します。

委任された管理者アカウントから再スキャン期間を設定すると、Amazon Inspector は組織内のすべてのメンバーアカウントに 設定を適用します。

ECR 再スキャン期間を設定するには

  1. 認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインから、全般設定 を選択し、次にECRスキャン設定 を選択します。

  3. ECR スキャン設定 で、ECR再スキャン期間 で、設定するイメージプッシュ日の期間とイメージプル日の期間を選択します。

  4. [保存] を選択します。新しい設定はすぐに適用されます。

注記

プッシュ日の期間を長くすると、Amazon Inspector は継続的スキャン用に設定されたリポジトリ内のすべてのアクティブスキャン済みイメージに変更を適用します。ただし、非アクティブなイメージは、新しい期間内にプッシュした場合でも非アクティブのままになります。