Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector - Amazon Inspector
Scanverhalten für Amazon ECR-ScansZuordnung von Container-Images zu laufenden ContainernUnterstützte Betriebssysteme und Medientypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector

Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie das Amazon ECR-Scannen aktivieren, legen Sie Amazon Inspector als bevorzugten Scanservice für Ihre private Registrierung fest.

Anmerkung

Amazon ECR verwendet eine Registrierungsrichtlinie, um einem AWS Prinzipal Berechtigungen zu erteilen. Dieser Principal verfügt über die erforderlichen Berechtigungen, um Amazon Inspector APIs zum Scannen aufzurufen. Wenn Sie den Geltungsbereich Ihrer Registrierungsrichtlinie festlegen, dürfen Sie die ecr:* Aktion nicht hinzufügen oder PutRegistryScanningConfiguration eingebendeny. Dies führt zu Fehlern auf Registrierungsebene, wenn das Scannen für Amazon ECR aktiviert und deaktiviert wird.

Beim einfachen Scannen können Sie Ihre Repositorys so konfigurieren, dass sie bei Push-Scans scannen oder manuelle Scans durchführen. Mit der erweiterten Suchfunktion können Sie auf der Registrierungsebene nach Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen suchen. Einen side-by-side Vergleich der Unterschiede zwischen einfachem und erweitertem Scannen finden Sie in den häufig gestellten Fragen zu Amazon Inspector.

Anmerkung

Das einfache Scannen wird über Amazon ECR bereitgestellt und abgerechnet. Weitere Informationen finden Sie unter Amazon Elastic Container Registry — Preise. Erweitertes Scannen wird über Amazon Inspector bereitgestellt und abgerechnet. Weitere Informationen erhalten Sie unter Amazon Inspector: Preise.

Informationen zur Aktivierung des Amazon ECR-Scannens finden Sie unterEinen Scantyp aktivieren. Informationen darüber, wie Sie Ihre Ergebnisse einsehen können, finden Sie unterErgebnisse in Amazon Inspector verwalten. Informationen dazu, wie Sie Ihre Ergebnisse auf Bildebene anzeigen können, finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide. Sie können Ergebnisse auch verwalten, wenn sie AWS-Services nicht für einfaches Scannen verfügbar sind, wie AWS Security Hub bei Amazon EventBridge.

Dieser Abschnitt enthält Informationen zum Amazon ECR-Scannen und beschreibt, wie Sie das erweiterte Scannen für Amazon ECR-Repositorys konfigurieren.

Scanverhalten für Amazon ECR-Scans

Wenn Sie das Amazon ECR-Scannen zum ersten Mal aktivieren, erkennt Amazon Inspector Bilder, die innerhalb der letzten 14 Tage übertragen wurden. Amazon Inspector scannt dann die Bilder und setzt den Scanstatus aufactive. Wenn kontinuierliches Scannen aktiviert ist, überwacht Amazon Inspector Bilder, sofern sie innerhalb von 14 Tagen (standardmäßig) übertragen wurden, das last-in-use Datum innerhalb von 14 Tagen liegt (standardmäßig) oder die Bilder innerhalb der konfigurierten Dauer des erneuten Scannens gescannt werden. Für Amazon Inspector Inspector-Konten, die vor dem 16. Mai 2025 erstellt wurden, ist die Standardkonfiguration ein erneutes Scannen, um Bilder zu überwachen, wenn sie innerhalb der letzten 90 Tage per Push oder Pull übertragen wurden. Weitere Informationen finden Sie unter Konfiguration der Dauer des Amazon ECR-Neuscans.

Für kontinuierliches Scannen initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von Container-Images:

  • Immer wenn ein neues Container-Image übertragen wird.

  • Immer wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für dieses Container-Image relevant ist (nur kontinuierliches Scannen).

Wenn Sie Ihr Repository für On-Push-Scannen konfigurieren, werden Bilder nur gescannt, wenn Sie sie per Push übertragen.

Sie können im Tab Container-Images auf der Kontoverwaltungsseite oder mithilfe der ListCoverageAPI überprüfen, wann ein Container-Image zuletzt auf Sicherheitslücken überprüft wurde. Amazon Inspector aktualisiert das Feld Zuletzt gescannt am eines Amazon ECR-Bilds als Reaktion auf die folgenden Ereignisse:

  • Wenn Amazon Inspector einen ersten Scan eines Container-Images abschließt.

  • Wenn Amazon Inspector ein Container-Image erneut scannt, weil ein neues CVE-Element (Common Vulnerabilities and Exposures), das sich auf dieses Container-Image auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Zuordnung von Container-Images zu laufenden Containern

Amazon Inspector bietet ein umfassendes Container-Sicherheitsmanagement, indem Container-Images laufenden Containern in Amazon Elastic Container Service (Amazon ECS) und Amazon Elastic Kubernetes Service (Amazon EKS) zugeordnet werden. Diese Zuordnungen bieten Einblicke in Sicherheitslücken bei Bildern auf laufenden Containern.

Anmerkung

Die verwaltete Richtlinie AWSReadOnlyAccess allein bietet keine ausreichenden Berechtigungen, um die Zuordnung zwischen Amazon ECR-Images und laufenden Containern anzuzeigen. Sie benötigen AWSReadOnlyAccess sowohl die als auch die AWSInspector2ReadOnlyAccess verwalteten Richtlinien, um Informationen zur Zuordnung von Container-Images anzuzeigen.

Mit dieser Funktion können Sie Abhilfemaßnahmen auf der Grundlage betrieblicher Risiken priorisieren und den Sicherheitsschutz im gesamten Container-Ökosystem aufrechterhalten. Sie können Container-Images überwachen, die aktuell verwendet werden und wann Container-Images in den letzten 24 Stunden zuletzt auf einem Amazon ECS- oder Amazon EKS-Cluster verwendet wurden. Bei neuen Images oder Konten kann es bis zu 36 Stunden dauern, bis Daten verfügbar sind. Danach werden diese Daten alle 24 Stunden aktualisiert. Diese Informationen sind in Ihren Ergebnissen über die Amazon Inspector Inspector-Konsole auf dem Detailbildschirm für Ihre Container-Image-Ergebnisse und in der Amazon Inspector Inspector-API über die ecrImageLastInUseAt Filter ecrImageInUseCount und verfügbar.

Anmerkung

Diese Daten werden automatisch an Amazon ECR Findings gesendet, wenn Sie das Amazon ECR-Scannen aktivieren und Ihr Repository für kontinuierliches Scannen konfigurieren. Kontinuierliches Scannen muss auf Amazon ECR-Repository-Ebene konfiguriert werden. Weitere Informationen finden Sie unter Verbessertes Scannen im Amazon Elastic Container Registry User Guide.

Sie können Container-Images aus Clustern auch anhand ihres last-in-use Datums erneut scannen.

Diese Funktion wird auch auf Amazon ECS Amazon EKS Fargate unterstützt.

Unterstützte Betriebssysteme und Medientypen

Informationen zu unterstützten Betriebssystemen finden Sie unterUnterstützte Betriebssysteme: Amazon ECR-Scannen mit Amazon Inspector.

Amazon Inspector-Scans von Amazon ECR-Repositorys decken die folgenden unterstützten Medientypen ab:

Image-Manifest

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Image-Konfiguration

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Bildebenen

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

Anmerkung

Amazon Inspector unterstützt den "application/vnd.docker.distribution.manifest.list.v2+json" Medientyp für das Scannen von Amazon ECR-Repositorys nicht.