Amazon Inspector による Amazon ECR コンテナイメージのスキャン - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon ECR コンテナイメージのスキャン

Amazon Inspector は、Amazon ECR に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ 脆弱性の検出結果を生成します。これらの問題について生成される結果のタイプについては、「Amazon Inspector での 検出結果タイプ」を参照してください。

Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供するデフォルトの基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。

Amazon Inspector が提供する拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、 や AWS Security Hub Amazon など、基本的なスキャンの検出結果では利用できない他の のサービスでこれらの検出結果を確認して操作できます EventBridge。Amazon Inspector コンソールの https://console.aws.amazon.com/inspector/v2/home でスキャンによって検出された結果を表示できます。検出結果の操作の詳細については、「Amazon Inspector での検出結果の管理」を参照してください。

Amazon ECR スキャンをアクティブ化する手順については、「スキャンタイプをアクティブ化する」を参照してください。

Amazon ECR スキャンのスキャン動作

ECR スキャンを初めてアクティブ化し、リポジトリが連続スキャン用に設定されている場合、Amazon Inspector は 30 日以内にプッシュした、または過去 90 日以内にプルされたすべての対象イメージを検出します。次に、Amazon Inspector は検出されたイメージをスキャンし、そのスキャンステータスを に設定しますactive。Amazon Inspector は、過去 90 日間 (デフォルトで) または設定した ECR 再スキャン期間内にプッシュまたはプルされたイメージを引き続きモニタリングします。詳細については、「ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は次の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

プッシュ時スキャン用にリポジトリを設定すると、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「Amazon ECR スキャンでサポートされているオペレーティングシステム」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注記

    スクラッチイメージと DockerV2ListMediaType イメージはサポートされていません。

Amazon ECR リポジトリの拡張スキャンの設定

Amazon ECR コンテナイメージの Amazon Inspector スキャンをアクティブ化すると、プライベートレジストリのスキャン設定が変更されます。レジストリのスキャンタイプが、[基本的なスキャン] から Amazon Inspector が提供する [拡張スキャン] に変更されました。詳細については、「Amazon ECR ユーザーガイド」の「イメージスキャン」を参照してください。

ECR のリポジトリレベルで拡張スキャンの設定を管理できます。リポジトリの継続的スキャンまたはオンプッシュスキャンを選択できます。継続的スキャンには、オンプッシュスキャンと自動再スキャンが含まれます。オンプッシュスキャンは、最初にイメージをプッシュしたときにのみスキャンされます。どちらのオプションでも、包含フィルターを使用してスキャン範囲を絞り込むことができます。デフォルトでは、拡張スキャンを初めてアクティブ化すると、設定は [すべてのリポジトリを継続的にスキャン] に設定されます。

拡張スキャンの設定を行うには
  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. ページの右上隅にある AWS リージョンセレクターで、スキャンするリポジトリがあるリージョンを選択します。

  3. ナビゲーションペインで、[プライベートレジストリ][スキャン] の順に選択します。

  4. [スキャンタイプ][拡張スキャン] が選択されていることを確認します。選択されていない場合は、[拡張スキャン] を選択します。

    デフォルトでは、[すべてのリポジトリを継続的にスキャン] オプションが選択されています。これにより、すべてのリポジトリの Amazon Inspector スキャン範囲が完全に有効になります。

  5. [すべてのリポジトリを継続的にスキャン] を選択解除して、どのリポジトリを継続的にスキャンするか、またはプッシュ時にスキャンするかをフィルタリングします。

拡張スキャンの設定の詳細については、「Amazon ECR ユーザーガイド」の「拡張スキャンの使用」を参照してください。

ECR 再スキャン期間の設定

ECR 再スキャン期間設定は、Amazon Inspector がリポジトリ内のコンテナイメージを継続的にモニタリングする期間を決定します。イメージのプッシュ日とプル日の両方に再スキャン期間を設定できます。イメージのプッシュ日がイメージのプッシュ日に設定された値よりも小さい場合、またはイメージが設定されたイメージのプル日 内にプルされている場合、Amazon Inspector は引き続きイメージをモニタリングし、そのイメージに影響を与える新しい CVE が公開された場合に再スキャンします。

例えば、プッシュ日として 60 日間、プル日設定として 180 日間を選択した場合、Amazon Inspector は、過去 60 日間にプッシュされた場合、または過去 180 日間に少なくとも 1 回プルされた場合、イメージを引き続きモニタリングします。過去 60 日間にイメージがプッシュされておらず、過去 180 日間にプルされていない場合、Amazon Inspector はイメージのモニタリングを停止します。Amazon Inspector がイメージのモニタリングを停止すると、イメージのスキャンステータスは inactive に変わり、理由コードは expired になります。次に、Amazon Inspector は、イメージに関連するすべての検出結果をクローズするようにスケジュールします。

再スキャン時間は、環境に最適な期間に設定できます。たとえば、イメージを頻繁にビルドする場合は、スキャン期間を短くすることができます。ただし、イメージを長期間使用し続ける場合は、より長いスキャン期間を選択できます。組織に追加された新しいアカウントを含め、新しいアカウントのデフォルトのスキャン期間は 90 日です。

委任管理者アカウントからの再スキャン期間を設定すると、Amazon Inspector はその設定を組織内のすべてのメンバーアカウントに適用します。

再スキャン期間として、次のイメージプッシュ日オプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

  • 有効期間

再スキャン期間として、次のイメージのプル日オプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

ECR の再スキャン期間を設定するには
  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインで、全般設定 を選択し、ECR スキャン設定 を選択します。

  3. ECR スキャン設定 では、ECR 再スキャン期間 で、設定するイメージプッシュ期間とイメージプル期間を選択します。

  4. [保存] を選択します。新しい設定はすぐに適用されます。

注記

プッシュ日の期間を長くすると、Amazon Inspector は継続的スキャン用に設定されたリポジトリ内のすべてのアクティブにスキャンされたイメージに変更を適用します。ただし、スキャンステータスが のイメージは、新しい期間内にプッシュした場合でも、期限切れexpiredのままになります。