使用 Amazon Inspector 扫描 Amazon ECR 容器映像 - Amazon Inspector
Amazon ECR 扫描的扫描行为支持的操作系统和媒体类型为 Amazon ECR 存储库配置增强扫描ECR 重新扫描持续时间

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Inspector 扫描 Amazon ECR 容器映像

Amazon Inspector 会扫描存储在 Amazon ECR 中的容器映像中是否存在软件漏洞,以生成包裹漏洞发现结果

当你激活 Amazon Inspector 对亚马逊 ECR 的扫描时,你将 Amazon Inspector 设置为私有注册表的首选扫描服务。这也意味着您将私有注册表的扫描配置设置从基本扫描更改为增强扫描。有关更多信息,请参阅 Amazon Inspector 常见问题解答

注意

基本扫描是通过 Amazon ECR 提供和计费的。有关更多信息,请参阅 Amazon 弹性容器注册表定价。增强型扫描功能由 Amazon Inspector 提供并计费。有关更多信息,请参阅 Amazon Inspector 定价

通过增强型扫描,您可以在注册表级别对操作系统和编程语言包进行漏洞扫描。您可以从 Amazon Inspector 控制台查看扫描发现的结果。有关更多信息,请参阅 管理 Amazon Inspector 中的调查发现

您还可以从 Amazon ECR 控制台在图像级别查看扫描发现的结果。有关更多信息,请参阅《Amazon 弹性容器注册表用户指南》中的图像扫描。此外,您还可以查看和处理不适用于基本扫描的其他服务(包括 AWS Security Hub 和 Amazon)中的发现 EventBridge。

有关激活 Amazon ECR 扫描的说明,请参阅激活扫描类型

Amazon ECR 扫描的扫描行为

当您首次激活 ECR 扫描并且您的存储库配置为持续扫描时,Amazon Inspector 会检测到您在 30 天内推送或在过去 90 天内提取的所有符合条件的图像。然后,Amazon Inspector 会扫描检测到的图像并将其扫描状态设置为active。只要图像是在过去 90 天内(默认)或在您配置的 ECR 重新扫描时间内推送或拉取的,Amazon Inspector 就会继续监控这些图像。有关更多信息,请参阅 配置 ECR 重新扫描持续时间

为了持续扫描,Amazon Inspector 会在以下情况下启动对容器映像的新漏洞扫描:

  • 每当推送新的容器映像时。

  • 每当 Amazon Inspector 在其数据库中添加新的常见脆弱性和风险 (CVE) 项目,并且 CVE 与该容器映像相关时(仅限持续扫描)。

如果您将存储库配置为推送扫描,则只有在推送图像时才会对其进行扫描。

您可以通过账户管理页面的容器映像选项卡或使用 ListCoverage API 查看上次检查容器映像是否存在漏洞的时间。发生以下事件时,Amazon Inspector 会更新 Amazon ECR 映像的上次扫描时间字段:

  • Amazon Inspector 完成对容器映像的初始扫描时。

  • 由于 Amazon Inspector 数据库中添加了影响该容器映像的新的常见脆弱性和风险 (CVE) 项目,因此 Amazon Inspector 重新扫描容器映像时。

支持的操作系统和媒体类型

有关支持的操作系统的信息,请参阅Amazon ECR 扫描支持的操作系统

Amazon Inspector 对 Amazon ECR 存储库的扫描涵盖以下支持的媒体类型:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注意

    不支持暂存映像和 "application/vnd.docker.distribution.manifest.list.v2+json" 映像。

为 Amazon ECR 存储库配置增强扫描

当您激活 Amazon Inspector 对 Amazon ECR 容器映像的扫描时,可以将私有注册表的扫描配置设置从基本扫描更改为增强扫描。基本扫描使用开源 Clair 项目中的常见漏洞和暴露数据库。增强型扫描功能与 Amazon Inspector 集成,可自动持续扫描您的存储库。

使用基本扫描,您可以将仓库配置为推送时扫描,或者执行手动扫描。借助增强的扫描功能,Amazon Inspector 可以扫描您的容器映像以查找操作系统和编程语言包漏洞。有关更多信息,请参阅 Amazon Inspector 常见问题解答,其中显示了基本扫描和增强扫描之间的区别 side-by-side 对比。

您可以在 ECR 中管理存储库级别的增强扫描设置。您可以选择推送或连续扫描。推送时扫描仅在推送图像时扫描。连续扫描包括推送扫描和自动重新扫描。您可以使用包含过滤器来缩小这两个选项的范围。

注意

当您激活 Amazon Inspector 对亚马逊 ECR 容器映像的扫描时,将启用连续扫描。但是,您可以取消选择此选项以在控制台中应用扫描过滤器。

配置增强扫描设置

  1. 使用您的凭据登录。

  2. 打开 Amazon ECR 控制台:https://console.aws.amazon.com/ecr/

  3. 从 AWS 区域 选择器下拉菜单中,选择 AWS 区域 包含您正在扫描的存储库的。

  4. 从导航窗格中选择 “私有注册表”,然后选择 “设置”

  5. 在 “扫描” 下,选择 “编辑”,然后选择 “增强扫描”。

  6. (可选)取消选择 “持续扫描所有存储库” 以配置连续扫描和推送扫描筛选器。

  7. 确认您的选择,然后选择 “保存”。

配置 ECR 重新扫描持续时间

ECR 重新扫描持续时间设置决定了 Amazon Inspector 持续监控存储库中容器映像的时间长度。您可以为图像推送日期和图像提取日期配置重新扫描持续时间。新帐户(包括添加到组织中的新帐户)的默认扫描持续时间为 90 天。

图片推送日期持续时间

图片推送日期持续时间决定了在最新拉取日期之后,Amazon Inspector 将图像推送到存储库后持续监控多长时间。以下选项可用作重新扫描持续时间:

  • 14 天

  • 30 天

  • 60 天

  • 90 天(默认)

  • 180 天

  • 生命周期

图片提取日期持续时间

图片提取日期持续时间决定了在最近一次提取日期之后 Amazon Inspector 持续监控图像的时间。以下选项可用作重新扫描持续时间:

  • 14 天

  • 30 天

  • 60 天

  • 90 天(默认)

  • 180 天

只要在配置的推送和拉取日期内推送或拉出图像,Amazon Inspector 就会继续监控和重新扫描图像。如果未在配置的推送和拉取日期内推送或拉取映像,Amazon Inspector 将停止对其进行监控。

注意

当 Amazon Inspector 停止监控图像时,它会将图像扫描状态码设置为,inactive将原因代码设置为expired。然后,它会安排关闭所有相关的图像搜索结果。

将重新扫描持续时间设置为最适合您的环境。例如,如果您经常构建图像,请选择较短的扫描持续时间。同样,如果您长时间使用图像,请选择更长的扫描持续时间。

当您配置委托管理员账户的重新扫描持续时间时,Amazon Inspector 会将该设置应用于组织中的所有成员账户。

配置 ECR 重新扫描持续时间

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 从导航窗格中选择 “常规设置”,然后选择 “ECR 扫描设置”

  3. ECR 扫描设置中,在 ECR 重新扫描持续时间下,选择要设置的图像推送日期持续时间和图像提取日期持续时间。

  4. 选择保存。您的新设置将立即生效。

注意

如果您延长推送日期持续时间,Amazon Inspector 会将更改应用于配置为持续扫描的存储库中所有主动扫描的图像。但是,即使您在新的持续时间内推送了非活动图像,它们仍处于非活动状态。