Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector - Amazon Inspector
Comportamientos de los análisis de Amazon ECRAsignación de imágenes de contenedores a contenedores en funcionamientoSistemas operativos y tipos de medios compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry en busca de vulnerabilidades de software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon ECR, se configura Amazon Inspector como el servicio de análisis preferido para su registro privado.

nota

Amazon ECR utiliza una política de registro para conceder permisos a un AWS director. Este director tiene los permisos necesarios para llamar a Amazon Inspector APIs para escanearlo. Al establecer el alcance de su política de registro, no debe añadir la ecr:* acción ni PutRegistryScanningConfiguration introducirladeny. Esto provoca errores en el nivel de registro al habilitar y deshabilitar el escaneo para Amazon ECR.

Con el análisis básico, puede configurar los repositorios para el análisis al insertar o puede realizar análisis manuales. Con los análisis mejorados, puede analizar para encontrar vulnerabilidades de sistemas operativos y de paquetes de lenguajes de programación en el nivel de registro. Para ver una side-by-side comparación de las diferencias entre el escaneo básico y el mejorado, consulta las Preguntas frecuentes de Amazon Inspector.

nota

El análisis básico se proporciona y se factura a través de Amazon ECR. Para obtener más información, consulte Precios de Amazon Elastic Container Registry. El análisis mejorado se proporciona y se factura a través de Amazon Inspector. Para obtener más información, consulte Precios de Amazon Inspector.

Para obtener información sobre cómo activar el análisis de Amazon ECR, consulte Activación de un tipo de análisis. Para obtener información sobre cómo ver los resultados, consulte Administración de los resultados en Amazon Inspector. Para obtener información sobre cómo ver los resultados en el nivel de imagen, consulte Análisis de imágenes en la Guía del usuario de Amazon Elastic Container Registry. También puedes gestionar los hallazgos que Servicios de AWS no estén disponibles para el escaneo básico, como AWS Security Hub Amazon EventBridge.

En esta sección se proporciona información sobre el análisis de Amazon ECR y se describe cómo configurar el análisis mejorado para los repositorios de Amazon ECR.

Comportamientos de los análisis de Amazon ECR

La primera vez que activas el escaneo con Amazon ECR, Amazon Inspector detecta las imágenes introducidas en los últimos 14 días. A continuación, Amazon Inspector escanea las imágenes y establece los estados de escaneo en. active Si la digitalización continua está habilitada, Amazon Inspector supervisa las imágenes siempre que se hayan insertado en un plazo de 14 días (de forma predeterminada), la last-in-use fecha esté dentro de los 14 días (de forma predeterminada) o las imágenes se escaneen dentro del tiempo de redigitalización configurado. Para las cuentas de Amazon Inspector que se crearon antes del 16 de mayo de 2025, la configuración predeterminada es volver a escanear para monitorizar las imágenes si se han insertado o extraído en los últimos 90 días. Para obtener más información, consulte Configuración de la duración de la repetición del análisis de Amazon ECR.

Para el análisis continuo, Amazon Inspector inicia nuevos análisis de imágenes de contenedores en busca de vulnerabilidades en las siguientes situaciones:

  • cada vez que se inserta una nueva imagen de contenedor,

  • cada vez que Amazon Inspector agrega un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y una CVE es relevante para la imagen de contenedor (solo para análisis continuos).

Si configura el repositorio para analizar lo insertado, las imágenes solo se analizarán cuando las inserte.

Puede comprobar la última vez en la que se revisó una imagen de contenedor en busca de vulnerabilidades desde la pestaña Imágenes de contenedores de la página Administración de cuentas o con la API ListCoverage. Amazon Inspector actualiza el campo Fecha del último análisis de una imagen de Amazon ECR en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una imagen de contenedor,

  • cuando Amazon Inspector vuelve a analizar una imagen de contenedor porque se ha agregado a la base de datos de Amazon Inspector un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) que afecta a dicha imagen de contenedor.

Asignación de imágenes de contenedores a contenedores en funcionamiento

Amazon Inspector proporciona una gestión integral de la seguridad de los contenedores mediante la asignación de imágenes de contenedores a los contenedores en ejecución de Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Kubernetes Service (Amazon EKS). Estos mapeos proporcionan información sobre las vulnerabilidades de las imágenes de los contenedores en ejecución.

nota

La política gestionada AWSReadOnlyAccess por sí sola no proporciona permisos suficientes para ver el mapeo entre las imágenes de Amazon ECR y los contenedores en ejecución. Necesita tanto las políticas AWSInspector2ReadOnlyAccess administradas como AWSReadOnlyAccess las administradas para ver la información de mapeo de imágenes de contenedores.

Con esta función, puede priorizar los esfuerzos de remediación en función de los riesgos operativos y mantener la cobertura de seguridad en todo el ecosistema de contenedores. Puede supervisar las imágenes de contenedores que se estén utilizando actualmente y cuándo se utilizaron por última vez en un clúster de Amazon ECS o Amazon EKS en las últimas 24 horas. En el caso de las nuevas imágenes o cuentas, los datos pueden tardar hasta 36 horas en estar disponibles. Posteriormente, estos datos se actualizan una vez cada 24 horas. Esta información estará disponible en tus hallazgos a través de la consola de Amazon Inspector, en la pantalla de detalles de las imágenes de tus contenedores, y en la API de Amazon Inspector, a través de ecrImageLastInUseAt los filtros ecrImageInUseCount y.

nota

Estos datos se envían automáticamente a Amazon ECR Findings al activar el escaneo de Amazon ECR y configurar el repositorio para el escaneo continuo. El escaneo continuo debe configurarse en el nivel de repositorio de Amazon ECR. Para obtener más información, consulte Escaneo mejorado en la Guía del usuario de Amazon Elastic Container Registry.

También puede volver a escanear las imágenes de los contenedores de los clústeres en función de su last-in-use fecha.

Esta función también es compatible con Amazon ECS Amazon EKS Fargate.

Sistemas operativos y tipos de medios compatibles

Para obtener información acerca de los sistemas operativos compatibles, consulte Sistemas operativos admitidos: análisis de Amazon ECR con Amazon Inspector.

Los análisis de Amazon Inspector de repositorios de Amazon ECR cubren los siguientes tipos de medios compatibles:

Manifiesto de imagen

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configuración de imagen

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Capas de imágenes

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

nota

Amazon Inspector no admite el tipo de "application/vnd.docker.distribution.manifest.list.v2+json" soporte para escanear los repositorios de Amazon ECR.