本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon ECR 中掃描映像是否有作業系統和程式設計語言套件漏洞
Amazon ECR 增強型掃描已與 Amazon Inspector 整合,可為容器映像提供漏洞掃描。系統會掃描容器映像,檢查是否有作業系統和程式設計語言套件漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接檢視掃描問題清單。如需有關 Amazon Inspector 的詳細資訊,請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 掃描容器映像。
透過增強型掃描,您可以選擇要將哪些儲存庫設定為自動連續掃描,以及將哪些儲存庫設定為推送時掃描。設定掃描篩選條件可完成此操作。
增強型掃描的注意事項
啟用 Amazon ECR 增強型掃描之前,請考慮下列事項。
-
使用此功能不會從 Amazon ECR 產生任何額外成本,但是,掃描映像檔則會從 Amazon Inspector 產生成本。此功能適用於支援 Amazon Inspector 的區域。如需詳細資訊,請參閱:
-
Amazon Inspector 定價 – Amazon Inspector 定價
。 -
Amazon Inspector 支援的區域 – 區域和端點。
-
-
Amazon ECR 增強型掃描顯示如何在 Amazon EKS 和 Amazon ECS 上使用映像。您可以查看上次使用映像的時間,並識別有多少叢集使用每個映像。此資訊可協助您排定主動使用映像的漏洞修復優先順序。您可以快速判斷哪些叢集可能受到新發現的漏洞影響。如需如何請求這些資訊和檢視回應的詳細資訊,請參閱
DescribeImageScanFindings
。 -
Amazon Inspector 支援掃描特定作業系統。如需完整清單,請參閱《Amazon Inspector 使用者指南》中的支援的作業系統:Amazon ECR 掃描。
-
Amazon Inspector 使用服務連結 IAM 角色,該角色提供為儲存庫提供增強型掃描所需的許可。為私有登錄檔開啟增強型掃描時,Amazon Inspector 會自動建立服務連結 IAM 角色。如需詳細資訊,請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 的服務連結角色。
-
當您最初為私有登錄檔開啟增強型掃描時,Amazon Inspector 只會根據映像推送時間戳記,辨識過去 14 天內推送至 Amazon ECR 的映像。較舊的映像會具有
SCAN_ELIGIBILITY_EXPIRED
掃描狀態。如果您希望 Amazon Inspector 掃描這些映像,則必須將這些映像再次推送到儲存庫中。 -
為 Amazon ECR 私有登錄檔開啟增強型掃描時,系統只會使用增強型掃描來掃描符合掃描篩選條件的所有儲存庫。不符合篩選條件的儲存庫都會具備
Off
掃描頻率,且不會被掃描。不支援使用增強掃描的手動掃描。如需詳細資訊,請參閱選擇在 Amazon ECR 中掃描哪些儲存庫的篩選條件。 -
如果您為「依據推送進行掃描」和「連續掃描」分別指定了篩選條件,發生同一儲存庫符合多個篩選條件的情況,則 Amazon ECR 會對該儲存庫強制優先執行「連續掃描」,而非「依據推送篩選條件進行掃描」。
-
開啟增強型掃描後,如果儲存庫的掃描頻率發生變更,Amazon ECR 會將事件傳送至 EventBridge。初始掃描完成且建立、更新或關閉映像掃描問題清單後,Amazon Inspector 會將事件發送到 EventBridge。
變更 Amazon Inspector 中影像的增強型掃描持續時間
啟用增強型掃描之後,Amazon ECR 會在設定的持續時間內持續掃描新推送的映像。根據預設,Amazon Inspector 會監控您的儲存庫,直到刪除映像或停用增強型掃描為止。您可以在 Amazon Inspector 主控台中設定推送日期持續時間 (最長可達生命週期) 和重新掃描持續時間,以符合環境的需求。當儲存庫的掃描持續時間經過時,掃描狀態會顯示為 SCAN_ELIGIBILITY_EXPIRED
。如需在 Amazon Inspector 中設定 Amazon ECR 重新掃描持續時間設定的詳細資訊,請參閱《Amazon Inspector 使用者指南》中的設定 Amazon ECR 重新掃描持續時間。 Amazon Inspector