Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector - Amazon Inspector
Comportamientos de los análisis de Amazon ECRAsignación de imágenes de contenedores a contenedores en funcionamientoSistemas operativos y tipos de medios compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry en busca de vulnerabilidades de software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon ECR, se configura Amazon Inspector como el servicio de análisis preferido para su registro privado.

nota

Amazon ECR utiliza una política de registro para conceder permisos a un AWS director. Este director tiene los permisos necesarios para llamar a Amazon Inspector APIs para escanearlo. Al establecer el alcance de la política de registro, no debe agregar la acción ecr:* ni PutRegistryScanningConfiguration en deny. Esto provoca errores por registro al habilitar y desactivar el análisis para Amazon ECR.

Con el análisis básico, puede configurar los repositorios para el análisis al insertar o puede realizar análisis manuales. Con los análisis mejorados, puede analizar para encontrar vulnerabilidades de sistemas operativos y de paquetes de lenguajes de programación por registro. Para ver una side-by-side comparación de las diferencias entre el escaneo básico y el mejorado, consulta las Preguntas frecuentes de Amazon Inspector.

nota

El análisis básico se proporciona y se factura a través de Amazon ECR. Para obtener más información, consulte Precios de Amazon Elastic Container Registry. El análisis mejorado se proporciona y se factura a través de Amazon Inspector. Para obtener más información, consulte Precios de Amazon Inspector.

Para obtener información sobre cómo activar el análisis de Amazon ECR, consulte Activación de un tipo de análisis. Para obtener información sobre cómo ver los resultados, consulte Visualización de los resultados de Amazon Inspector. Para obtener información sobre cómo ver los resultados en Amazon ECR por imagen, consulte Análisis de imágenes en la Guía del usuario de Amazon Elastic Container Registry. Puedes gestionar los hallazgos utilizando Servicios de AWS productos no disponibles para el escaneo básico, como AWS Security Hub CSPM Amazon EventBridge.

Puede ver la configuración de escaneo de cada repositorio en Amazon Inspector a través de las páginas de cobertura y APIs. Sin embargo, los ajustes de configuración del análisis básico en comparación con el análisis continuo solo se pueden modificar en Amazon ECR. Amazon Inspector proporciona visibilidad de estos ajustes, pero no ofrece funciones de modificación directa. Para obtener más información, consulte Escaneo de imágenes para detectar vulnerabilidades en Amazon ECR en la Guía del usuario de Amazon ECR.

En esta sección se proporciona información sobre el análisis de Amazon ECR y se describe cómo configurar el análisis mejorado para los repositorios de Amazon ECR.

Comportamientos de los análisis de Amazon ECR

Al activar los análisis de Amazon ECR por primera vez, Amazon Inspector detecta las imágenes que se han insertado en los últimos 14 días. A continuación, Amazon Inspector analiza las imágenes y establece los estados de análisis en ACTIVE. Amazon Inspector solo escaneará las imágenes activas en ECR (imageStatusel campo esACTIVE). Amazon Inspector no escanea las imágenes con el estado Archivado en ECR (el imageStatus campo esARCHIVED).

Si la digitalización continua está habilitada, Amazon Inspector supervisa las imágenes siempre que se hayan insertado en un plazo de 14 días (de forma predeterminada), la last-in-use fecha esté dentro de los 14 días (de forma predeterminada) o las imágenes se escaneen dentro del tiempo de redigitalización configurado. Para las cuentas de Amazon Inspector que se crearon antes del 16 de mayo de 2025, la configuración predeterminada es volver a analizar para supervisar las imágenes si se han insertado o extraído en los últimos 90 días. Para obtener más información, consulte Configuración de la duración de la repetición del análisis de Amazon ECR.

Para el análisis continuo, Amazon Inspector inicia nuevos análisis de imágenes de contenedores en busca de vulnerabilidades en las siguientes situaciones:

  • cada vez que se inserta una nueva imagen de contenedor,

  • cada vez que Amazon Inspector agrega un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y una CVE es relevante para la imagen de contenedor (solo para análisis continuos).

  • Cada vez que una imagen de contenedor pasa de estar archivada a activa en ECR.

Si configura el repositorio para analizar lo insertado, las imágenes solo se analizarán cuando las inserte.

Puede comprobar la última vez en la que se revisó una imagen de contenedor en busca de vulnerabilidades desde la pestaña Imágenes de contenedores de la página Administración de cuentas o con la API ListCoverage. Amazon Inspector actualiza el campo Fecha del último análisis de una imagen de Amazon ECR en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una imagen de contenedor,

  • cuando Amazon Inspector vuelve a analizar una imagen de contenedor porque se ha agregado a la base de datos de Amazon Inspector un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) que afecta a dicha imagen de contenedor.

Imágenes de contenedores ECR archivadas

Amazon Inspector no escanea las imágenes de contenedores archivadas en ECR (imageStatusisARCHIVED). Cuando una imagen activa en ECR pasa a estar archivada, Amazon Inspector cierra automáticamente las conclusiones y las elimina al cabo de 3 días. Si la imagen de un contenedor archivado pasa a estar activa en ECR, Amazon Inspector activa un nuevo escaneo.

Asignación de imágenes de contenedores a contenedores en funcionamiento

Amazon Inspector proporciona una administración de seguridad de contenedores integral mediante la asignación de imágenes de contenedores a contenedores en ejecución en Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Kubernetes Service (Amazon EKS). Estas asignaciones proporcionan información sobre las vulnerabilidades de las imágenes de los contenedores en ejecución.

nota

La política administrada AWSReadOnlyAccess por sí sola no proporciona permisos suficientes para ver la asignación entre las imágenes de Amazon ECR y los contenedores en ejecución. Necesita las políticas administradas AWSReadOnlyAccess y AWSInspector2ReadOnlyAccess para ver la información de asignación de imágenes de contenedores.

Puede priorizar los esfuerzos de corrección en función de los riesgos operativos y mantener la cobertura de seguridad en todo el ecosistema de contenedores. Puede ver cuántas imágenes de contenedor se utilizan actualmente y qué imágenes de contenedor se utilizaron por última vez en un clúster de Amazon ECS o Amazon EKS en las últimas 24 horas. Puede ver también el número de tareas de Amazon ECS y pods de Amazon EKS que se han implementado. Esta información se puede encontrar en la consola de Amazon Inspector, en la pantalla de detalles para encontrar imágenes de contenedores, y con los filtros ecrImageInUseCount y ecrImageLastInUseAt para el tipo de datos FilterCriteria. En el caso de las imágenes o cuentas de contenedores nuevos, los datos pueden tardar hasta 36 horas en estar disponibles. Después, estos datos se actualizan una vez cada 24 horas. Para obtener más información, consulte Visualización de los resultados de Amazon Inspector y Visualización de detalles de los resultados de Amazon Inspector.

nota

Estos datos se envían automáticamente a los resultados de Amazon ECR al activar el análisis de Amazon ECR y configurar el repositorio para el análisis continuo. El análisis continuo se debe configurar por repositorio de Amazon ECR. Para obtener más información, consulte Análisis mejorado en la Guía del usuario de Amazon Elastic Container Registry.

También puede volver a escanear las imágenes de contenedores de los clústeres en función de su fecha. last-in-use

Esta característica también es compatible con Fargate con Amazon ECS y Amazon EKS.

Sistemas operativos y tipos de medios compatibles

Para obtener información acerca de los sistemas operativos compatibles, consulte Sistemas operativos admitidos: análisis de Amazon ECR con Amazon Inspector.

Los análisis de Amazon Inspector de repositorios de Amazon ECR cubren los siguientes tipos de medios compatibles:

Manifiesto de imágenes

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configuración de imágenes

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Capas de imágenes

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

nota

Amazon Inspector no admite el tipo de medio "application/vnd.docker.distribution.manifest.list.v2+json" para el análisis de los repositorios de Amazon ECR.