Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔 - Amazon Inspector
Amazon ECR 스캔의 스캔 동작지원되는 운영 체제 및 미디어 유형Amazon ECR 리포지토리에 대한 고급 스캔 구성ECR 재스캔 기간

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔

Amazon Inspector는 Amazon ECR에 저장된 컨테이너 이미지를 스캔하여 소프트웨어 취약성이 있는지 검사하여 패키지 취약성 결과를 생성합니다.

Amazon ECR용 Amazon Inspector 스캔을 활성화하면 Amazon Inspector를 프라이빗 레지스트리의 기본 스캔 서비스로 설정합니다. 이는 또한 프라이빗 레지스트리의 스캔 구성 설정을 기본 스캔에서 고급 스캔으로 변경한다는 의미이기도 합니다. 자세한 내용은 Amazon Inspector FAQ를 참조하십시오.

참고

기본 스캔은 Amazon ECR을 통해 제공되고 요금이 청구됩니다. 자세한 내용은 Amazon Elastic 컨테이너 레지스트리 요금을 참조하십시오. 향상된 스캔 기능이 제공되고 Amazon Inspector를 통해 요금이 청구됩니다. 자세한 내용은 Amazon Inspector 요금을 참조하세요.

향상된 검사를 사용하면 레지스트리 수준에서 운영 체제 및 프로그래밍 언어 패키지에 대한 취약성 스캔의 이점을 얻을 수 있습니다. Amazon Inspector 콘솔에서 스캔으로 발견된 결과를 볼 수 있습니다. 자세한 정보는 Amazon Inspector에서 결과 관리을 참조하세요.

Amazon ECR 콘솔에서 이미지 수준에서 스캔으로 발견된 결과를 볼 수도 있습니다. 자세한 내용은 Amazon Elastic 컨테이너 레지스트리 사용 설명서의 이미지 스캔을 참조하십시오. 또한 Amazon을 포함하여 AWS Security Hub 기본 스캔으로는 사용할 수 없는 다른 서비스에서 결과를 검토하고 작업할 수 EventBridge 있습니다.

Amazon ECR 스캔 활성화에 대한 지침은 을 참조하십시오. 스캔 유형 활성화

Amazon ECR 스캔의 스캔 동작

ECR 스캔을 처음 활성화하고 리포지토리가 연속 스캔을 위해 구성되면 Amazon Inspector는 30일 이내에 푸시했거나 지난 90일 이내에 가져온 모든 적격 이미지를 탐지합니다. 그런 다음 Amazon Inspector는 탐지된 이미지를 스캔하고 스캔 상태를 로 설정합니다. active Amazon Inspector는 최근 90일 이내 (기본값) 또는 사용자가 구성한 ECR 재스캔 기간 내에 푸시 또는 풀링된 이미지를 계속 모니터링합니다. 자세한 정보는 ECR 재스캔 기간 구성을 참조하세요.

연속 스캔을 위해 Amazon Inspector는 다음과 같은 상황에서 컨테이너 이미지에 대한 새로운 취약성 스캔을 시작합니다.

  • 새 컨테이너 이미지가 푸시될 때마다

  • Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 해당 컨테이너 이미지와 관련이 있을 때마다(연속 스캔만 해당)

온푸시 스캔을 사용하도록 리포지토리를 구성하면 이미지를 푸시할 때만 이미지가 스캔됩니다.

컨테이너 이미지의 취약성을 마지막으로 검사한 시기는 계정 관리 페이지의 컨테이너 이미지 탭에서 또는 ListCoverage API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Amazon ECR 이미지의 마지막 스캔 시간 필드를 업데이트합니다.

  • Amazon Inspector에서 컨테이너 이미지의 첫 번째 스캔을 완료한 경우

  • 컨테이너 이미지에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE) 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 컨테이너 이미지를 다시 스캔하는 경우

지원되는 운영 체제 및 미디어 유형

지원되는 운영 체제에 대한 자세한 내용은 Amazon ECR 스캔을 지원하는 운영 체제 섹션을 참조하세요.

Amazon Inspector의 Amazon ECR 리포지토리 스캔에서 지원되는 미디어 유형은 다음과 같습니다.

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    참고

    스크래치 이미지 및 "application/vnd.docker.distribution.manifest.list.v2+json" 이미지는 지원되지 않습니다.

Amazon ECR 리포지토리에 대한 고급 스캔 구성

Amazon ECR 컨테이너 이미지에 대한 Amazon Inspector 스캔을 활성화하면 프라이빗 레지스트리의 스캔 구성 설정을 기본 스캔에서 고급 스캔으로 변경합니다. 기본 스캔은 오픈 소스 Clair 프로젝트의 일반적인 취약성 및 노출 데이터베이스를 사용합니다. 향상된 스캔 기능은 Amazon Inspector와 통합되어 리포지토리를 자동화하고 지속적으로 스캔할 수 있게 해줍니다.

기본 스캔을 사용하면 푸시 시 스캔하도록 리포지토리를 구성하거나 수동 스캔을 수행합니다. Amazon Inspector는 향상된 스캔 기능을 통해 컨테이너 이미지를 스캔하여 운영 체제 및 프로그래밍 언어 패키지 취약성을 찾아냅니다. 자세한 내용은 기본 스캔과 고급 스캔 간의 차이점을 side-by-side 비교한 Amazon Inspector FAQ를 참조하십시오.

ECR의 리포지토리 수준에서 향상된 스캔에 대한 설정을 관리할 수 있습니다. 푸시 스캔 또는 연속 스캔을 선택할 수 있습니다. 푸시 스캔은 이미지를 푸시할 때만 스캔합니다. 연속 스캔에는 푸시 스캔 없음 및 자동 재스캔이 포함됩니다. 포함 필터를 사용하여 두 옵션의 범위를 조정할 수 있습니다.

참고

Amazon ECR 컨테이너 이미지에 대한 Amazon Inspector 스캔을 활성화하면 연속 스캔이 활성화됩니다. 하지만 이 옵션을 선택 취소하여 콘솔에서 스캔 필터를 적용할 수 있습니다.

고급 스캔 설정을 구성하려면

  1. 자격 증명을 사용하여 로그인합니다.

  2. Amazon ECR 콘솔(https://console.aws.amazon.com/ecr/)을 엽니다.

  3. AWS 리전 선택기 드롭다운 메뉴에서 스캔 중인 리포지토리가 AWS 리전 있는 항목을 선택합니다.

  4. 탐색 창에서 개인 레지스트리를 선택한 다음 설정을 선택합니다.

  5. 검사에서 편집을 선택한 다음 향상된 검사를 선택합니다.

  6. (선택 사항) 연속 스캔 및 푸시 스캔 필터를 구성하려면 모든 리포지토리 연속 스캔을 선택 취소합니다.

  7. 선택 사항을 확인한 다음 [Save] 를 선택합니다.

ECR 재스캔 기간 구성

ECR 재스캔 기간 설정에 따라 Amazon Inspector가 리포지토리의 컨테이너 이미지를 지속적으로 모니터링하는 기간이 결정됩니다. 이미지 푸시 날짜 및 이미지 풀 날짜의 재스캔 기간을 구성할 수 있습니다. 조직에 추가된 새 계정을 포함하여 새 계정의 기본 검색 기간은 90일입니다.

이미지 푸시 날짜 기간

이미지 푸시 날짜 기간은 Amazon Inspector에서 이미지를 최신 풀 날짜 이후에 리포지토리로 푸시한 후 이미지를 지속적으로 모니터링하는 기간을 결정합니다. 재스캔 기간으로 사용할 수 있는 옵션은 다음과 같습니다.

  • 14일

  • 30일

  • 60일

  • 90일 (기본값)

  • 180일

  • 수명

이미지 가져오기 날짜 기간

이미지 풀 날짜 기간에 따라 Amazon Inspector가 최근 풀 날짜 이후에 이미지를 지속적으로 모니터링하는 기간이 결정됩니다. 재스캔 기간으로 사용할 수 있는 옵션은 다음과 같습니다.

  • 14일

  • 30일

  • 60일

  • 90일 (기본값)

  • 180일

Amazon Inspector는 구성된 푸시 및 풀 날짜 내에 푸시 또는 풀링된 이미지를 계속 모니터링하고 다시 스캔합니다. 구성된 푸시 및 풀 날짜 내에 이미지가 푸시되거나 풀링되지 않은 경우 Amazon Inspector는 이미지 모니터링을 중단합니다.

참고

Amazon Inspector는 이미지 모니터링을 중지하면 이미지 스캔 상태 코드를 로 inactive 설정하고 사유 코드를 로 설정합니다. expired 그런 다음 모든 관련 이미지 검색 결과를 닫도록 스케줄링합니다.

환경에 가장 적합하도록 재스캔 시간을 설정하십시오. 예를 들어 이미지를 자주 만드는 경우 스캔 시간을 짧게 선택하십시오. 마찬가지로 이미지를 장기간 사용하는 경우 스캔 시간을 더 길게 선택하십시오.

위임된 관리자 계정에서 재스캔 기간을 구성하면 Amazon Inspector는 조직의 모든 구성원 계정에 설정을 적용합니다.

ECR 재스캔 기간을 구성하려면

  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/inspector/v2/home 에서 Amazon Inspector 콘솔을 엽니다.

  2. 탐색 창에서 일반 설정을 선택한 다음 ECR 스캔 설정을 선택합니다.

  3. ECR 스캔 설정의 ECR 재스캔 기간에서 설정하려는 이미지 푸시 날짜 기간과 이미지 가져오기 날짜 기간을 선택합니다.

  4. 저장을 선택합니다. 새 설정이 즉시 적용됩니다.

참고

푸시 날짜 기간을 늘리면 Amazon Inspector는 연속 스캔을 위해 구성된 리포지토리의 모든 활성 스캔 이미지에 변경 사항을 적용합니다. 하지만 비활성 이미지는 새 기간 내에 푸시했더라도 비활성 상태로 유지됩니다.