本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon 督察掃描亞馬遜彈性容器註冊表容器
Amazon Inspector 會掃描存放在 Amazon 彈性容器登錄中的容器映像,找出軟體弱點,以產生套件漏洞發現的 激活 Amazon ECR 掃描時,您將 Amazon Inspector 設置為您的私有註冊表的首選掃描服務。這也表示您將私人登錄的掃描組態設定從基本掃描變更為增強型掃描。
注意
基本掃描是透過 Amazon 提供和計費ECR。如需詳細資訊,請參閱 Amazon 彈性容器登錄定價
透過增強的掃描功能,您可以在登錄層級掃描作業系統和程式設計語言套件弱點。如需如何檢視發現項目的詳細資訊,請參閱管理 Amazon Inspector 中的發現。如需如何在映像層級檢視發現項目的詳細資訊,請參閱 Amazon 彈性容器登錄使用者指南中的映像掃描。您還可以管理 AWS 服務 不適用於基本掃描的發現,例如AWS Security Hub 和 Amazon EventBridge。
如需如何啟用 Amazon ECR 掃描的相關資訊,請參閱啟動掃瞄類型。本節提供 Amazon ECR 掃描的相關資訊,並說明如何為 Amazon ECR 儲存庫設定增強型掃描。
Amazon 掃描的ECR掃描行為
當您第一次啟動ECR掃描並將儲存庫設定為持續掃描時,Amazon Inspector 會偵測您在 30 天內推送或過去 90 天內提取的所有合格映像。然後,Amazon Inspector 會掃描偵測到的影像,並將其掃描狀態設定為active
。只要在過去 90 天 (預設情況下) 或在您設定的ECR重新掃描持續時間內推送或拉出影像,Amazon Inspector 就會持續監控影像。如需詳細資訊,請參閱設定ECR重新掃描持續時間。
對於持續掃描,Amazon Inspector 會在下列情況下啟動容器映像的新弱點掃描:
-
每當一個新的容器映像被推送。
-
每當 Amazon Inspector 在其資料庫中新增一個新的常見漏洞和曝光 (CVE) 項目時,該項目與該CVE容器映像相關 (僅限連續掃描)。
如果您在推送掃描時設定儲存庫,則只有在您推送影像時才會掃描影像。
您可以從 [帳戶管理] 頁面上的 [容器映像] 索引標籤,或使用 ListCoverageAPI. Amazon Inspector 會更新 Amazon ECR 影像的「上次掃描時間」欄位,以回應下列事件:
-
當 Amazon Inspector 器完成容器映像的初始掃描時。
-
當 Amazon Inspector 重新掃描容器映像時,因為影響該容器映像的新常見漏洞和曝光 (CVE) 項目已新增至 Amazon Inspector 資料庫。
支援的作業系統和媒體類型
如需有關支援作業系統的資訊,請參閱支援 Amazon ECR 掃描的作業系統。
Amazon Inspector 掃描的 Amazon ECR 儲存庫涵蓋下列支援的媒體類型:
-
"application/vnd.docker.distribution.manifest.v1+json"
-
"application/vnd.docker.distribution.manifest.v1+prettyjws"
-
"application/vnd.oci.image.manifest.v1+json"
-
"application/vnd.docker.distribution.manifest.v2+json"
注意
不支援刮擦
"application/vnd.docker.distribution.manifest.list.v2+json"
影像和影像。
為 Amazon ECR 儲存庫設定增強型掃描
當您針對 Amazon ECR 容器映像啟用 Amazon Inspector 掃描時,您可以將私有登錄的掃描組態設定從基本掃描變更為增強型掃描。基本掃描會使用開放原始碼 Claire 專案中的「常見弱點和入侵程式」資料庫。增強型掃描功能與 Amazon Inspector 整合,並提供儲存庫的自動持續掃描功能。
使用基本掃描,您可以將存放庫設定為在推送時進行掃描,或者執行手動掃描。透過增強的掃描功能,Amazon Inspector 可掃描您的容器映像,找出作業系統和程式設計語言套件 如需詳細資訊,請參閱 Amazon Inspector FAQs
您可以在中管理儲存庫層級的增強型掃描的設定ECR。您可以選擇推送或連續掃描。在推送掃描時,只會在您推送影像時掃描。連續掃描包括推送掃描和自動重新掃描。您可以使用包含篩選條件來精簡這兩個選項的範圍。
注意
當您針對 Amazon ECR 容器映像啟用 Amazon Inspector 掃描時,會啟用持續掃描。不過,您可以取消選取此選項,在主控台中套用掃描過濾器。
設定您的增強型掃描設定
-
使用您的認證登入。
-
在打開 Amazon ECR 控制台https://console.aws.amazon.com/ecr/
。 -
從選 AWS 區域 擇器下拉式功能表中 AWS 區域 ,選取您要掃描的儲存庫。
-
從功能窗格中,選擇 [私人登錄],然後選擇 [設定]。
-
在掃描下,選擇編輯,然後增強掃描。
-
(選擇性) 取消選取持續掃描所有儲存庫以設定連續掃描和推送掃描過濾器。
-
確認您的選擇,然後選擇 [儲存]。
設定ECR重新掃描持續時間
ECR重新掃描持續時間設定可決定 Amazon Inspector 持續監控儲存庫中容器映像的時間長度。您可以設定影像推送日期和影像提取日期的重新掃描持續時間。新帳戶 (包括新增至組織的新帳戶) 的預設掃描持續時間為 90 天。
影像推送日期持續期
映像推送日期持續時間可決定 Amazon Inspector 在最新提取日期之後將影像推送至儲存庫之後持續監控影像的時間長度。下列選項可作為重新掃描持續時間使用:
-
14 天
-
30 天
-
六十天
-
90 天 (預設值)
-
180 天
-
生命週期
影像拉取日期持續時
影像提取日期持續時間決定 Amazon Inspector 在最近提取日期之後持續監控影像的時間長度。下列選項可作為重新掃描持續時間使用:
-
14 天
-
30 天
-
六十天
-
90 天 (預設值)
-
180 天
只要在設定的推送和拉出日期內推送或拉出影像,Amazon Inspector 就會繼續監控和重新掃描影像。如果映像尚未在設定的推送和提取日期內推送或提取,Amazon Inspector 會停止監控該影像。
注意
當 Amazon Inspector 停止監控影像時,會將影像掃描狀態碼設定為,inactive
並將程式碼原因為expired
。然後,它會將所有關聯的影像發現項目排程為關閉。
設定最適合您環境的重新掃描持續時間。例如,如果您經常建立影像,請選擇較短的掃描持續時間。同樣地,如果長時間使用影像,請選擇較長的掃描持續時間。
當您從委派的管理員帳戶設定重新掃描持續時間時,Amazon Inspector 會將此設定套用至組織中的所有成員帳戶。
設定ECR重新掃描持續時間
-
使用您的登入資料登入,然後在 https://console.aws.amazon.com/inspector/v2/
home 開啟 Amazon Inspector 主控台。 -
在瀏覽窗格中,選擇 [一般設定],然後選擇 [ECR掃描設定]。
-
在ECR掃描設定上,在ECR重新掃描持續時間下,選擇要設定的影像推送日期持續時間和影像拉取日期持續時間。
-
選擇 Save (儲存)。系統會立即套用您的新設定。
注意
如果您增加推送日期持續時間,Amazon Inspector 會將變更套用至針對持續掃描而設定的儲存庫中的所有主動掃描影像。但是,即使您在新的持續時間內推送非作用中影像,仍會保持非作用中的影像。