Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector
Amazon ECR スキャンのスキャン動作実行中のコンテナへのコンテナイメージのマッピングサポートされているオペレーティングシステムとメディアタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン

Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ脆弱性の検出結果を生成します。Amazon ECR のスキャンをアクティブ化するときは、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。

注記

Amazon ECR はレジストリポリシーを使用して、 AWS プリンシパルにアクセス許可を付与します。このプリンシパルには、スキャンのために Amazon Inspector API を呼び出すために必要な許可が付与されています。レジストリポリシーの範囲を設定するときは、 ecr:* アクションまたは PutRegistryScanningConfigurationdeny に追加しないでください。Amazon ECR のスキャンを有効または無効にしたときに、レジストリレベルでエラーが発生します。

基本スキャンでは、プッシュ時にスキャンするか、手動スキャンを実行するようにレポジトリを設定できます。拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。基本スキャンと拡張スキャンの違いを並べて比較するには、「Amazon Inspector に関するよくある質問」を参照してください。

注記

基本スキャンは Amazon ECR を通じて提供され、請求されます。詳細については、「Amazon Elastic Container Registry の料金」を参照してください。拡張スキャンは Amazon Inspector を通じて提供され、請求されます。詳細については、「Amazon Inspector の料金」を参照してください。

Amazon ECR スキャンをアクティブ化する方法については、「スキャンタイプをアクティブ化する」を参照してください。検出結果を表示する方法については、Amazon Inspector の検出結果の表示」を参照してください。Amazon ECR で検出結果をイメージレベルで表示する方法の詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「イメージスキャン」を参照してください。検出結果は、 AWS Security Hub CSPM や Amazon EventBridge などの基本スキャンに AWS のサービス 使用できない を使用して管理できます。

Amazon Inspector の各リポジトリのスキャン設定は、カバレッジページと API で表示できます。ただし、基本スキャンと連続スキャンの設定は、Amazon ECR でのみ変更可能です。Amazon Inspector ではこれらの設定を可視化できますが、直接変更することはできません。詳細については、「Amazon ECR ユーザーガイド」の「Amazon ECR でイメージをスキャンしてソフトウェア脆弱性がないか調べる」を参照してください。

このセクションでは、Amazon ECR スキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。

Amazon ECR スキャンのスキャン動作

Amazon ECR スキャンを初めてアクティブ化すると、Amazon Inspector は過去 14 日間にプッシュされたイメージをスキャンします。次に、Amazon Inspector はイメージをスキャンし、スキャンステータスを ACTIVE に設定します。Amazon Inspector は ECR でアクティブなイメージのみをスキャンします (imageStatus フィールドは )ACTIVE。ECR のアーカイブ済みステータス (imageStatus フィールドは ARCHIVED) のイメージは、Amazon Inspector によってスキャンされません。

連続スキャンが有効になっている場合、Amazon Inspector は 最後にプッシュされたのが 14 日以内 (デフォルト)、最終使用日が 14 日以内 (デフォルト) の場合、または設定された再スキャン期間内にイメージがスキャンされる場合に限り、イメージをモニタリングします。2025 年 5 月 16 日より前に作成された Amazon Inspector アカウントの場合、デフォルト設定では、イメージが過去 90 日以内にプッシュまたはプルされた場合に再スキャンしてイメージをモニタリングします。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

  • コンテナイメージが ECR でアーカイブからアクティブに移行するたびに。

リポジトリをプッシュスキャン用に設定した場合、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

アーカイブされた ECR コンテナイメージ

Amazon Inspector は、ECR にアーカイブされたコンテナイメージをスキャンしません (imageStatus は ですARCHIVED)。ECR のアクティブなイメージがアーカイブに移行すると、Amazon Inspector は検出結果を自動的に閉じ、3 日後に検出結果を削除します。アーカイブされたコンテナイメージが ECR でアクティブに移行すると、Amazon Inspector は新しいスキャンをトリガーします。

実行中のコンテナへのコンテナイメージのマッピング

Amazon Inspector は、Amazon Elastic Container Service (Amazon ECS) と Amazon Elastic Kubernetes Service (Amazon EKS) 全体で実行中のコンテナにコンテナイメージをマッピングすることで、包括的なコンテナセキュリティ管理を提供します。これらのマッピングにより、実行中のコンテナ上のイメージの脆弱性に関するインサイトを得ることができます。

注記

管理ポリシー AWSReadOnlyAccess だけでは、Amazon ECR イメージと実行中のコンテナ間のマッピングを表示するための十分なアクセス許可が不足しています。コンテナイメージマッピング情報を表示するには、 AWSReadOnlyAccessAWSInspector2ReadOnlyAccessの両方の管理ポリシーが必要です。

運用リスクに基づいて修復作業に優先順位を付け、コンテナエコシステム全体のセキュリティカバレッジを維持できます。現在使用されているコンテナイメージの数と、過去 24 時間に Amazon ECS または Amazon EKS クラスターで最後に使用されたコンテナイメージを表示できます。デプロイされている Amazon ECS タスクと Amazon EKS ポッドの数を表示することもできます。この情報は、コンテナイメージの検出結果の詳細画面にある Amazon Inspector コンソールで確認できます。また、FilterCriteria データタイプに対して ecrImageInUseCount および ecrImageLastInUseAt フィルターを使用して確認することもできます。新しいコンテナイメージまたはアカウントの場合、データが利用可能になるまでに最大 36 時間かかることがあります。その後、このデータは 24 時間に 1 回更新されます。詳細については、Amazon Inspector の検出結果の表示」および「Amazon Inspector の検出結果の詳細の表示」を参照してください。

注記

このデータは、Amazon ECR スキャンをアクティブ化し、リポジトリに継続的スキャン用を設定すると、Amazon ECR の検出結果に自動的に送信されます。継続的スキャンは、Amazon ECR リポジトリレベルで設定する必要があります。詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「拡張スキャン」を参照してください。

最終使用日に基づいて、クラスターからコンテナイメージを再スキャンすることもできます。

この機能は、Amazon ECS および Amazon EKS の Fargate でもサポートされています。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

イメージマニフェスト

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

イメージ設定

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

イメージレイヤー

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

注記

Amazon Inspector は、Amazon ECR リポジトリのスキャン用の "application/vnd.docker.distribution.manifest.list.v2+json" メディアタイプをサポートしていません。