Bilder auf Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen in Amazon ECR scannen - Amazon ECR
Überlegungen für das erweiterte ScannenÄndern der erweiterten Scandauer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bilder auf Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen in Amazon ECR scannen

Das erweiterte Scannen von Amazon ECRs ist eine Integration mit Amazon Inspector, die Schwachstellensuche für Ihre Container-Images ermöglicht. Ihre Container-Images werden auf Schwachstellen in Betriebssystemen und Programmiersprachenpaketen gescannt. Sie können die Scanergebnisse sowohl bei Amazon ECR als auch mit Amazon Inspector direkt einsehen. Weitere Informationen zu Amazon Inspector finden Sie unter Scannen von Container-Images mit Amazon Inspector im Benutzerhandbuch für Amazon Inspector.

Beim erweiterten Scannen können Sie auswählen, welche Repositorys für automatisches, kontinuierliches Scannen und welche für Scan bei Push konfiguriert sind. Dies geschieht durch Festlegen von Scanfiltern.

Überlegungen für das erweiterte Scannen

Beachten Sie Folgendes, bevor Sie Amazon ECR Enhanced Scanning aktivieren.

  • Für die Nutzung dieses Features fallen für Amazon ECR keine zusätzlichen Kosten an. Amazon Inspector berechnet jedoch Kosten für das Scannen Ihrer Bilder. Diese Funktion ist in Regionen verfügbar, in denen Amazon Inspector unterstützt wird. Weitere Informationen finden Sie unter:

  • Das erweiterte Scannen von Amazon ECR zeigt, wie Bilder auf Amazon EKS und Amazon ECS verwendet werden. Sie können sehen, wann Bilder zuletzt verwendet wurden, und feststellen, wie viele Cluster jedes Bild verwenden. Diese Informationen helfen Ihnen bei der Priorisierung der Behebung von Sicherheitslücken für aktiv genutzte Images. Sie können schnell feststellen, welche Cluster von neu entdeckten Sicherheitslücken betroffen sein könnten. Weitere Informationen zum Anfordern dieser Informationen und zum Anzeigen der Antwort finden Sie unter DescribeImageScanFindings.

  • Amazon Inspector unterstützt das Scannen nach bestimmten Betriebssystemen. Eine vollständige Liste finden Sie unter Unterstützte Betriebssysteme – Amazon-ECR-Scan im Benutzerhandbuch für Amazon Inspector.

  • Amazon Inspector verwendet eine servicegebundene IAM-Rolle, die die erforderlichen Berechtigungen bereitstellt, um erweitertes Scannen für Ihre Repositorys bereitzustellen. Die servicegebundene IAM-Rolle wird automatisch von Amazon Inspector erstellt, wenn erweitertes Scannen für Ihre private Registrierung aktiviert ist. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Inspector im Benutzerhandbuch für Amazon Inspector.

  • Wenn Sie das erweiterte Scannen für Ihre private Registrierung zunächst aktivieren, erkennt Amazon Inspector nur Bilder, die in den letzten 14 Tagen an Amazon ECR übertragen wurden, basierend auf dem Image-Push-Zeitstempel. Ältere Bilder haben den SCAN_ELIGIBILITY_EXPIRED-Scanstatus. Wenn Sie möchten, dass diese Bilder von Amazon Inspector gescannt werden, sollten Sie sie erneut in Ihr Repository verschieben.

  • Wenn das erweiterte Scannen für Ihre private Amazon ECR-Registrierung aktiviert ist, werden alle Repositorys, die mit den Scanfiltern übereinstimmen, nur mit erweitertem Scannen gescannt. Alle Repositorys, die keinem Filter entsprechen, haben eine Off-Scanfrequenz und werden nicht gescannt. Manuelle Scans mit erweitertem Scannen werden nicht unterstützt. Weitere Informationen finden Sie unter Filter zur Auswahl der Repositorys, die in Amazon ECR gescannt werden.

  • Wenn Sie separate Filter für den Scan bei Push und das kontinuierliche Scannen angeben, bei denen mehrere Filter mit demselben Repository übereinstimmen, erzwingt und zieht Amazon ECR den kontinuierlichen Scan-Filter dem Scan bei Push-Filter für dieses Repository vor.

  • Wenn erweitertes Scannen aktiviert ist, sendet Amazon ECR ein Ereignis an EventBridge die Änderung der Scan-Frequenz für ein Repository. Amazon Inspector gibt Ereignisse aus, EventBridge wenn ein erster Scan abgeschlossen ist und wenn ein Bildscan-Ergebnis erstellt, aktualisiert oder geschlossen wird.

Änderung der erweiterten Scandauer für Bilder in Amazon Inspector

Nach der Aktivierung des erweiterten Scannens scannt Amazon ECR kontinuierlich neu übertragene Bilder für die konfigurierte Dauer. Standardmäßig überwacht Amazon Inspector Ihre Repositorys, bis Bilder gelöscht oder erweitertes Scannen deaktiviert ist. Sie können in der Amazon Inspector Inspector-Konsole sowohl die Dauer des Push-Datums (bis zu Lifetime) als auch die Dauer des erneuten Scans entsprechend den Anforderungen Ihrer Umgebung konfigurieren. Wenn die Scandauer für ein Repository abgelaufen ist, wird der Scanstatus als angezeigt. SCAN_ELIGIBILITY_EXPIRED Weitere Informationen zur Konfiguration der Einstellungen für die Dauer des erneuten Scans für Amazon ECR in Amazon Inspector finden Sie unter Konfiguration der Dauer des erneuten Scans von Amazon ECR im Amazon Inspector Inspector-Benutzerhandbuch.