在 Amazon ECR 中掃描映像是否有作業系統和程式設計語言套件漏洞

Amazon ECR 增強型掃描已與 Amazon Inspector 整合，可為容器映像提供漏洞掃描。系統會掃描容器映像，檢查是否有作業系統和程式設計語言套件漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接檢視掃描問題清單。如需有關 Amazon Inspector 的詳細資訊，請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 掃描容器映像。

透過增強型掃描，您可以選擇要將哪些儲存庫設定為自動連續掃描，以及將哪些儲存庫設定為推送時掃描。設定掃描篩選條件可完成此操作。

增強型掃描的注意事項

啟用 Amazon ECR 增強型掃描之前，請考慮下列事項。

• 使用此功能不會從 Amazon ECR 產生任何額外成本，但是，掃描映像檔則會從 Amazon Inspector 產生成本。此功能適用於支援 Amazon Inspector 的區域。如需詳細資訊，請參閱：

  • Amazon Inspector 定價 – Amazon Inspector 定價。

  • Amazon Inspector 支援的區域 – 區域和端點。

• Amazon ECR 增強型掃描顯示如何在 Amazon EKS 和 Amazon ECS 上使用映像。您可以查看上次使用映像的時間，並識別有多少叢集使用每個映像。此資訊可協助您排定主動使用映像的漏洞修復優先順序。您可以快速判斷哪些叢集可能受到新發現的漏洞影響。如需如何請求這些資訊和檢視回應的詳細資訊，請參閱 DescribeImageScanFindings。

• Amazon Inspector 支援掃描特定作業系統。如需完整清單，請參閱《Amazon Inspector 使用者指南》中的支援的作業系統：Amazon ECR 掃描。

• Amazon Inspector 使用服務連結 IAM 角色，該角色提供為儲存庫提供增強型掃描所需的許可。為私有登錄檔開啟增強型掃描時，Amazon Inspector 會自動建立服務連結 IAM 角色。如需詳細資訊，請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 的服務連結角色。

• 當您最初為私有登錄檔開啟增強型掃描時，Amazon Inspector 只會根據映像推送時間戳記，辨識過去 14 天內推送至 Amazon ECR 的映像。較舊的映像會具有 SCAN_ELIGIBILITY_EXPIRED 掃描狀態。如果您希望 Amazon Inspector 掃描這些映像，則必須將這些映像再次推送到儲存庫中。

• 為 Amazon ECR 私有登錄檔開啟增強型掃描時，系統只會使用增強型掃描來掃描符合掃描篩選條件的所有儲存庫。不符合篩選條件的儲存庫都會具備 Off 掃描頻率，且不會被掃描。不支援使用增強掃描的手動掃描。如需詳細資訊，請參閱選擇在 Amazon ECR 中掃描哪些儲存庫的篩選條件。

• 如果您為「依據推送進行掃描」和「連續掃描」分別指定了篩選條件，發生同一儲存庫符合多個篩選條件的情況，則 Amazon ECR 會對該儲存庫強制優先執行「連續掃描」，而非「依據推送篩選條件進行掃描」。

• 開啟增強型掃描後，如果儲存庫的掃描頻率發生變更，Amazon ECR 會將事件傳送至 EventBridge。初始掃描完成且建立、更新或關閉映像掃描問題清單後，Amazon Inspector 會將事件發送到 EventBridge。

變更 Amazon Inspector 中影像的增強型掃描持續時間

啟用增強型掃描後，Amazon ECR 會在設定的持續時間內持續掃描新推送的映像。根據預設，Amazon Inspector 會監控您的儲存庫，直到刪除映像或停用增強型掃描為止。您可以在 Amazon Inspector 主控台中設定推送日期持續時間 （最長可達生命週期） 和重新掃描持續時間，以符合您環境的需求。儲存庫的掃描持續時間經過時，掃描狀態會顯示為 SCAN_ELIGIBILITY_EXPIRED。如需在 Amazon Inspector 中設定 Amazon ECR 重新掃描持續時間設定的詳細資訊，請參閱《Amazon Inspector 使用者指南》中的設定 Amazon ECR 重新掃描持續時間。 Amazon Inspector