Amazon Inspector による Amazon ECR コンテナイメージのスキャン - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon ECR コンテナイメージのスキャン

Amazon Inspector は、Amazon ECR に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ 脆弱性の検出結果を生成します。これらの問題について生成される結果のタイプについては、「Amazon Inspector での 検出結果タイプ」を参照してください。

Amazon ECR の Amazon Inspector スキャンをアクティブ化すると、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。これにより、Amazon ECR が無料で提供するデフォルトの基本的なスキャンが、Amazon Inspector を通じて提供および請求される拡張スキャンに置き換わります。

Amazon Inspector が提供する拡張スキャンでは、オペレーティングシステムパッケージとプログラミング言語パッケージの両方をレジストリレベルで脆弱性スキャンできるという利点があります。拡張スキャンを使用して検出された検出結果は、Amazon ECR コンソールで、イメージのレイヤーごとにイメージレベルで確認できます。さらに、 や AWS Security Hub Amazon など、基本的なスキャン検出結果には利用できない他の のサービスで、これらの検出結果を確認して操作できます EventBridge。スキャンによって検出された検出結果は、https://console.aws.amazon.com/inspector/v2/home の Amazon Inspector コンソールで表示できます。検出結果の操作の詳細については、「Amazon Inspector での検出結果の管理」を参照してください。

Amazon ECR スキャンをアクティブ化する手順については、「スキャンタイプをアクティブ化する」を参照してください。

Amazon ECR スキャンのスキャン動作

ECR スキャンを初めてアクティブ化し、リポジトリが連続スキャン用に設定されている場合、Amazon Inspector は 30 日以内にプッシュした、または過去 90 日以内にプルしたすべての対象イメージを検出します。次に、Amazon Inspector は検出されたイメージをスキャンし、スキャンステータスを に設定しますactive。Amazon Inspector は、過去 90 日間 (デフォルトで) または設定した ECR 再スキャン期間内にプッシュまたはプルされたイメージを引き続きモニタリングします。詳細については、「ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は次のような状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

プッシュスキャン時にリポジトリを設定すると、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「Amazon ECR スキャンでサポートされているオペレーティングシステム」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注記

    スクラッチイメージと DockerV2ListMediaType イメージはサポートされていません。

Amazon ECR リポジトリの拡張スキャンの設定

Amazon ECR コンテナイメージの Amazon Inspector スキャンをアクティブ化すると、プライベートレジストリのスキャン設定が変更されます。レジストリのスキャンタイプが、[基本的なスキャン] から Amazon Inspector が提供する [拡張スキャン] に変更されました。詳細については、「Amazon ECR ユーザーガイド」の「イメージスキャン」を参照してください。

ECR のリポジトリレベルで拡張スキャンの設定を管理できます。リポジトリの継続的スキャンまたはオンプッシュスキャンを選択できます。継続的スキャンには、オンプッシュスキャンと自動再スキャンが含まれます。オンプッシュスキャンは、最初にイメージをプッシュしたときにのみスキャンされます。どちらのオプションでも、包含フィルターを使用してスキャン範囲を絞り込むことができます。デフォルトでは、拡張スキャンを初めてアクティブ化すると、設定は [すべてのリポジトリを継続的にスキャン] に設定されます。

拡張スキャンの設定を行うには
  1. Amazon ECR コンソール (https://console.aws.amazon.com/ecr/) を開きます。

  2. ページの右上隅にある AWS リージョン セレクターで、スキャンするリポジトリがあるリージョンを選択します。

  3. ナビゲーションペインで、[プライベートレジストリ][スキャン] の順に選択します。

  4. [スキャンタイプ][拡張スキャン] が選択されていることを確認します。選択されていない場合は、[拡張スキャン] を選択します。

    デフォルトでは、[すべてのリポジトリを継続的にスキャン] オプションが選択されています。これにより、すべてのリポジトリの Amazon Inspector スキャン範囲が完全に有効になります。

  5. [すべてのリポジトリを継続的にスキャン] を選択解除して、どのリポジトリを継続的にスキャンするか、またはプッシュ時にスキャンするかをフィルタリングします。

拡張スキャンの設定の詳細については、「Amazon ECR ユーザーガイド」の「拡張スキャンの使用」を参照してください。

ECR 再スキャン期間の設定

ECR 再スキャン期間設定は、Amazon Inspector がリポジトリ内のコンテナイメージを継続的にモニタリングする期間を決定します。イメージのプッシュ日とイメージのプル日の再スキャン期間を設定できます。組織に追加された新しいアカウントを含む、新しいアカウントのデフォルトのスキャン期間は 90 日間です。

イメージのプッシュ日の期間

イメージのプッシュ日の期間によって、Amazon Inspector が最新のプル日以降にリポジトリにプッシュされた後にイメージを継続的にモニタリングする期間が決まります。再スキャン期間として以下のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

  • 有効期間

イメージのプル日の期間

イメージのプル日期間はAmazon Inspector が最新のプル日以降にイメージを継続的にモニタリングする期間を決定します。再スキャン期間として以下のオプションを使用できます。

  • 14 日間

  • 30 日間

  • 60 日

  • 90 日 (デフォルト)

  • 180 日間

Amazon Inspector は、設定されたプッシュおよびプル日内にプッシュまたはプルされている限り、イメージのモニタリングと再スキャンを続行します。設定されたプッシュおよびプル日内にイメージがプッシュまたはプルされていない場合、Amazon Inspector はイメージのモニタリングを停止します。

注記

Amazon Inspector がイメージのモニタリングを停止すると、イメージスキャンステータスコードは に設定inactiveされ、理由コードは に設定されますexpired。次に、関連するすべての画像検出結果をクローズするようにスケジュールします。

環境に最適な再スキャン期間を設定します。例えば、イメージを頻繁に構築する場合は、短いスキャン時間を選択します。同様に、イメージを長期間使用する場合は、より長いスキャン期間を選択します。

委任された管理者アカウントから再スキャン期間を設定すると、Amazon Inspector は組織内のすべてのメンバーアカウントに 設定を適用します。

ECR 再スキャン期間を設定するには
  1. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. ナビゲーションペインから、全般設定 を選択し、ECR スキャン設定 を選択します。

  3. ECR スキャン設定 で、ECR 再スキャン期間 で、設定するイメージプッシュ日の期間とイメージプル日の期間を選択します。

  4. [保存] を選択します。新しい設定はすぐに適用されます。

注記

プッシュ日の期間を長くすると、Amazon Inspector は継続的スキャン用に設定されたリポジトリ内のすべてのアクティブスキャン済みイメージに変更を適用します。ただし、非アクティブなイメージは、新しい期間内にプッシュした場合でも非アクティブのままになります。