Amazon インスペクターによる Amazon ECR コンテナイメージのスキャン - Amazon Inspector
Amazon ECR スキャンのスキャン動作サポートされているオペレーティングシステムとメディアタイプAmazon ECR リポジトリの拡張スキャンの設定ECR 自動再スキャン期間の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon インスペクターによる Amazon ECR コンテナイメージのスキャン

Amazon Inspector は、Amazon ECR に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないか調べて、Package 脆弱性の検出結果を生成します。これらの問題について生成される結果のタイプについては、を参照してください。Amazon Inspector でタイプを検索する

Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供するデフォルトのベーシックスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換えられます

Amazon Inspector が提供する拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性をレジストリレベルでスキャンできるという利点があります。拡張スキャンを使用して検出された結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、Amazon EventBridge などAWS Security Hub、基本的なスキャン結果には利用できない他のサービスでもこれらの結果を確認して処理できます。スキャンによって検出された結果は、https://console.aws.amazon.com/inspector/ の Amazon Inspector コンソールで確認できます。検出結果の処理方法については、を参照してください。Amazon Inspector での結果の管理

Amazon ECR スキャンを有効にする手順については、を参照してください。スキャンタイプを有効にする

Amazon ECR スキャンのスキャン動作

Amazon ECR スキャンを初めて有効にすると、Amazon Inspector は過去 30 日間にプッシュされた対象画像をスキャンします。デフォルトでは、画像は生涯にわたってスキャンされます。ただし、コンソールまたは API を使用して別の期間を設定できます。詳細については、「ECR 自動再スキャン期間の設定」を参照してください。ECR スキャンを有効にすると、ECR にプッシュされたすべての画像が、設定した自動再スキャン時間の間、継続的にスキャンされます。

Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされるたび。

  • Amazon Inspector がデータベースに新しい共通脆弱性と暴露 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (連続スキャンのみ)。

コンテナイメージの脆弱性が最後にチェックされたのはいつだったかは、アカウント管理ページの [コンテナイメージ] タブまたは API を使用して確認できます。ListCoverage Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日時] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初期スキャンを完了したとき。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性と露出 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

サポートされているオペレーティングシステムとメディアタイプ

サポート対象のオペレーティングシステムについては、を参照してくださいAmazon ECR スキャンでサポートされているオペレーティングシステム

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注記

    DockerV2ListMediaTypeスクラッチイメージとイメージはサポートされていません。

Amazon ECR リポジトリの拡張スキャンの設定

Amazon ECR コンテナイメージの Amazon Inspector スキャンをアクティブ化すると、プライベートレジストリのスキャン設定が変更されます。レジストリのスキャンタイプが、ベーシックスキャンから Amazon Inspector が提供する拡張スキャンに変更されました。詳細については、Amazon ECR ユーザーガイドの「イメージスキャン」を参照してください。

ECR のリポジトリレベルで拡張スキャンの設定を管理できます。リポジトリの連続スキャンまたはオンプッシュスキャンを選択できます。連続スキャンには、オンプッシュスキャンと自動再スキャンが含まれます。オンプッシュスキャンは、最初に画像をプッシュしたときにのみスキャンされます。どちらのオプションでも、インクルージョンフィルターを使用してスキャン範囲を絞り込むことができます。デフォルトでは、拡張スキャンを初めて有効にすると、設定は [すべてのリポジトリを継続的にスキャンする] に設定されます。

拡張スキャンの設定を行うには:

  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. AWS リージョンページの右上隅にあるセレクターを使用して、スキャンするリポジトリがあるリージョンを選択します。

  3. ナビゲーションペインで [プライベートレジストリ] を選択し、[スキャン] を選択します。

  4. [スキャンの種類] で [拡張スキャン] が選択されていることを確認します。選択されていない場合は、[拡張スキャン] を選択します。

    デフォルトでは、[すべてのリポジトリを継続的にスキャン] オプションが選択されています。これにより、すべてのリポジトリの Amazon Inspector スキャン範囲が完全に有効になります。

  5. すべてのリポジトリを継続的にスキャンする」を選択解除して、どのリポジトリを継続的にスキャンするか、プッシュ時にスキャンするかをフィルタリングします。

拡張スキャンの設定の詳細については、Amazon ECR ユーザーガイドの「拡張スキャンの使用」を参照してください。

ECR 自動再スキャン期間の設定

Amazon ECR 自動再スキャン時間設定により、Amazon Inspector がリポジトリにプッシュされたイメージを継続的に監視する期間が決まります。イメージが最初にプッシュされてからの日数が自動再スキャン期間の設定を超えると、Amazon Inspector はイメージのモニタリングを停止します。Amazon Inspector がイメージのモニタリングを停止すると、inactiveイメージのスキャンステータスはに変わり、理由コードはになります。expiredその後、その画像に関連するすべての検出結果がクローズされるようスケジュールされます。

Amazon ECR の自動再スキャンの所要時間は、Amazon Inspector で環境に合わせて設定できます。たとえば、イメージを頻繁にビルドする場合は、スキャン時間を短くすることができます。ただし、イメージを長期間使用し続ける場合は、より長いスキャン時間を選択できます。組織に追加された新しいアカウントを含め、新しいアカウントのデフォルトのスキャン時間は生涯です。つまり、Amazon Inspector は画像が削除されるまでスキャンします。

委任された管理者アカウントから自動再スキャン期間を設定すると、その設定は組織内のすべてのメンバーアカウントに適用されます。

以下のスキャン期間オプションを使用できます。

  • 30 日間

  • 180 日間

  • 有効期間 (デフォルト)

ECR 自動再スキャン時間を設定するには

  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインの [一般設定] で、[ECR スキャン設定] を選択します。

  3. [ECR 再スキャン時間] で、必要な時間を選択します。

  4. [保存] を選択します。新しい設定は直ちに適用されます。

たとえば、期間を 30 日から 180 日に延長すると、Amazon Inspector は、継続的スキャン用に設定されたリポジトリで現在スキャンされているすべてのイメージに変更を適用します。ただし、スキャンステータスが「」の画像は有効期限切れのままです。expired

たとえば、有効期間を 180 日に短縮すると、Amazon Inspector は、継続的スキャン用に設定されたリポジトリでスキャン中のすべてのアクティブなイメージに変更を適用します。新しい設定より古い画像は、expiredスキャンステータスがに変更され、監視されなくなります。スキャンを再開するには、イメージをリポジトリに再度プッシュする必要があります。