Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector
Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry en busca de vulnerabilidades de software para generar [resultados de vulnerabilidades de paquetes](https://docs.aws.amazon.com/). Al activar los análisis de Amazon ECR, se configura Amazon Inspector como el servicio de análisis preferido para su registro privado.
**nota**
Amazon ECR utiliza una política de registro para conceder permisos a un AWS director. Este director tiene los permisos necesarios para llamar a Amazon Inspector APIs para escanearlo. Al establecer el alcance de la política de registro, no debe agregar la acción `ecr:*` ni `PutRegistryScanningConfiguration` en `deny`. Esto provoca errores en los registros al habilitar y deshabilitar el análisis para Amazon ECR.
Con el análisis básico, puede configurar los repositorios para el análisis al insertar o puede realizar análisis manuales. Con los análisis mejorados, puede analizar para encontrar vulnerabilidades de sistemas operativos y de paquetes de lenguajes de programación por registro. Para ver una side-by-side comparación de las diferencias entre el escaneo básico y el mejorado, consulta las [Preguntas frecuentes de Amazon Inspector](https://aws.amazon.com/inspector/faqs/).
**nota**
El análisis básico se proporciona y se factura a través de Amazon ECR. Para obtener más información, consulte [Precios de Amazon Elastic Container Registry](https://aws.amazon.com/ecr/pricing/). El análisis mejorado se proporciona y se factura a través de Amazon Inspector. Para obtener más información, consulte [Precios de Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
Para obtener información sobre cómo activar el análisis de Amazon ECR, consulte [Activación de un tipo de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Para obtener información sobre cómo ver los resultados, consulte [Visualización de los resultados de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html). Para obtener información sobre cómo ver los resultados en Amazon ECR por imagen, consulte [Análisis de imágenes](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) en la *Guía del usuario de Amazon Elastic Container Registry*. Puedes gestionar los hallazgos utilizando Servicios de AWS productos no disponibles para el escaneo básico, como [AWS Security Hub CSPM Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html).
Puede ver la configuración de escaneo de cada repositorio en Amazon Inspector a través de las páginas de cobertura y APIs. Sin embargo, los ajustes de configuración para determinar si se aplica el análisis básico o el análisis continuo solo se pueden modificar en Amazon ECR. Amazon Inspector permite consultar estos ajustes, pero no modificarlos directamente. Para obtener más información, consulte [Análisis de imágenes para detectar vulnerabilidades en Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) en la *Guía del usuario de Amazon ECR*.
En esta sección se proporciona información sobre el análisis de Amazon ECR y se describe cómo configurar el análisis mejorado para los repositorios de Amazon ECR.
## Comportamientos de los análisis de Amazon ECR
Al activar los análisis de Amazon ECR por primera vez, Amazon Inspector detecta las imágenes que se han insertado en los últimos 14 días. A continuación, Amazon Inspector analiza las imágenes y establece los estados de análisis en `ACTIVE`. Amazon Inspector solo escaneará las imágenes activas en ECR (`imageStatus`el campo es`ACTIVE`). Amazon Inspector no escanea las imágenes con el estado Archivado en ECR (el `imageStatus` campo es`ARCHIVED`).
Si la digitalización continua está habilitada, Amazon Inspector supervisa las imágenes siempre que se hayan insertado en un plazo de 14 días (de forma predeterminada), la last-in-use fecha esté dentro de los 14 días (de forma predeterminada) o las imágenes se escaneen dentro del tiempo de redigitalización configurado. Para las cuentas de Amazon Inspector creadas antes del 16 de mayo de 2025, la configuración predeterminada establece que el reanálisis supervise las imágenes si se han insertado o extraído en los últimos 90 días. Para obtener más información, consulte [Configuración de la duración de la repetición del análisis de Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html).
Para el análisis continuo, Amazon Inspector inicia nuevos análisis de imágenes de contenedores en busca de vulnerabilidades en las siguientes situaciones:
+ cada vez que se inserta una nueva imagen de contenedor,
+ cada vez que Amazon Inspector agrega un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y una CVE es relevante para la imagen de contenedor (solo para análisis continuos).
+ Cada vez que una imagen de contenedor pasa de estar archivada a activa en ECR.
Si configura el repositorio para analizar lo insertado, las imágenes solo se analizarán cuando las inserte.
Puede comprobar la última vez en la que se revisó una imagen de contenedor en busca de vulnerabilidades desde la pestaña **Imágenes de contenedores** de la página **Administración de cuentas** o con la API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html). Amazon Inspector actualiza el campo **Fecha del último análisis** de una imagen de Amazon ECR en respuesta a los siguientes eventos:
+ cuando Amazon Inspector completa un análisis inicial de una imagen de contenedor,
+ cuando Amazon Inspector vuelve a analizar una imagen de contenedor porque se ha agregado a la base de datos de Amazon Inspector un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) que afecta a dicha imagen de contenedor.
### Imágenes de contenedores ECR archivadas
Amazon Inspector no escanea las imágenes de contenedores archivadas en ECR (`imageStatus`is`ARCHIVED`). Cuando una imagen activa en ECR pasa a estar archivada, Amazon Inspector cierra automáticamente las conclusiones y las elimina al cabo de 3 días. Si la imagen de un contenedor archivado pasa a estar activa en ECR, Amazon Inspector activa un nuevo escaneo.
## Asignación de imágenes de contenedores a contenedores en ejecución
Amazon Inspector proporciona una administración de seguridad de contenedores integral mediante la asignación de imágenes de contenedores a contenedores en ejecución en Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Kubernetes Service (Amazon EKS). Estas asignaciones proporcionan información sobre las vulnerabilidades de las imágenes de los contenedores en ejecución.
**nota**
La política administrada `AWSReadOnlyAccess` por sí sola no proporciona permisos suficientes para ver la asignación entre las imágenes de Amazon ECR y los contenedores en ejecución. Necesita las políticas administradas `AWSReadOnlyAccess` y `AWSInspector2ReadOnlyAccess` para ver la información de asignación de imágenes de contenedores.
Puede priorizar los esfuerzos de corrección en función de los riesgos operativos y mantener la cobertura de seguridad en todo el ecosistema de contenedores. Puede ver cuántas imágenes de contenedores se utilizan actualmente y qué imágenes de contenedores se utilizaron por última vez en un clúster de Amazon ECS o Amazon EKS en las últimas 24 horas. Puede ver también el número de tareas de Amazon ECS y pods de Amazon EKS que se han implementado. Esta información se puede encontrar en la consola de Amazon Inspector, en la pantalla de detalles de los resultados de imágenes de contenedores, y con los filtros `ecrImageInUseCount` y `ecrImageLastInUseAt` para el tipo de datos [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html). En el caso de las imágenes de contenedores o cuentas nuevos, los datos pueden tardar hasta 36 horas en estar disponibles. Después, estos datos se actualizan una vez cada 24 horas. Para obtener más información, consulte [Visualización de los resultados de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) y [Visualización de los detalles de los resultados de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html).
**nota**
Estos datos se envían automáticamente a los resultados de Amazon ECR al activar el análisis de Amazon ECR y configurar el repositorio para el análisis continuo. El análisis continuo se debe configurar para cada repositorio de Amazon ECR. Para obtener más información, consulte [Análisis mejorado](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html) en la *Guía del usuario de Amazon Elastic Container Registry*.
También puede [volver a escanear las imágenes de contenedores](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html) de los clústeres en función de su fecha. last-in-use
Esta característica también está disponible en Fargate con Amazon ECS y Amazon EKS.
## Sistemas operativos y tipos de medios compatibles
Para obtener información acerca de los sistemas operativos compatibles, consulte [Sistemas operativos admitidos: análisis de Amazon ECR con Amazon Inspector](supported.md#supported-os-ecr).
Los análisis de Amazon Inspector de repositorios de Amazon ECR cubren los siguientes tipos de medios compatibles:
**Manifiesto de imágenes**
+ `"application/vnd.oci.image.manifest.v1+json"`
+ `"application/vnd.docker.distribution.manifest.v2+json"`
**Configuración de imágenes**
+ `"application/vnd.docker.container.image.v1+json"`
+ `"application/vnd.oci.image.config.v1+json"`
**Capas de imágenes**
+ `"application/vnd.docker.image.rootfs.diff.tar"`
+ `"application/vnd.docker.image.rootfs.diff.tar.gzip"`
+ `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"`
+ `"application/vnd.oci.image.layer.v1.tar"`
+ `"application/vnd.oci.image.layer.v1.tar+gzip"`
+ `"application/vnd.oci.image.layer.v1.tar+zstd"`
+ `"application/vnd.oci.image.layer.nondistributable.v1.tar"`
+ `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"`
**nota**
Amazon Inspector no admite el tipo de medio `"application/vnd.docker.distribution.manifest.list.v2+json"` para el análisis de los repositorios de Amazon ECR.
# Configuración de la duración de la repetición del análisis de Amazon ECR
La configuración de la duración de la repetición del análisis de Amazon ECR determina durante cuánto tiempo Amazon Inspector supervisa de forma continua las imágenes de contenedor en repositorios. Usted configura la duración del nuevo escaneo para la fecha de la imagen, la last-in-use fecha de la última extracción y la fecha de inserción. Como práctica recomendada, configure la duración de la repetición del análisis según su entorno.
Si compila imágenes frecuentemente, elija una duración de análisis más corta. Para imágenes usadas durante largos periodos de tiempo, elija una duración de análisis más larga. La duración predeterminada del escaneo para las cuentas nuevas, incluidas las cuentas nuevas agregadas a una organización, es de 14 días.
Amazon Inspector seguirá supervisando y volviendo a analizar una imagen siempre que se haya utilizado por última vez en un clúster o se haya insertado dentro de 14 días (de forma predeterminada). Si una imagen no se ha insertado o se ha utilizado por última vez en un contenedor en ejecución dentro de las fechas de inserción configuradas y de última utilización, Amazon Inspector deja de supervisarla. Existe la opción de cambiar la configuración para supervisar las imágenes según la fecha de la última extracción en lugar de la última fecha de uso, si es necesario. Cuando Amazon Inspector deja de supervisar una imagen, establece el código de estado del análisis de la imagen en inactivo y el código de motivo en caducado. A continuación, Amazon Inspector programa el cierre de todos los resultados de imagen asociados.
Si aumenta la duración de la fecha de inserción, Amazon Inspector aplica el cambio a todas las imágenes analizadas activamente en repositorios configurados para análisis continuos. Sin embargo, las imágenes inactivas permanecen inactivas, aunque las haya insertado dentro de la nueva duración.
Cuando configure la duración de la repetición del análisis desde una cuenta de administrador delegado, Amazon Inspector aplica la configuración a todas las cuentas de miembros de la organización. Si la cuenta de administrador delegado no habilita el análisis de Amazon ECR, no podrá ver los clústeres de una imagen de API.
En el caso de imágenes con varias arquitecturas, no se admite el seguimiento de last-in-use fechas. Si utiliza imágenes con varias arquitecturas, le recomendamos que configure el escaneado en función de los eventos de extracción o inserción de imágenes y no de la last-in-use fecha para garantizar un comportamiento correcto al volver a digitalizar.
**nota**
Todos los ajustes de duración de volver a analizar configurados antes del 16 de mayo de 2025 permanecerán inalterados. Puede seguir utilizando cualquier configuración predeterminada que haya configurado anteriormente.
**Duración de la repetición del análisis de la imagen**
La duración de la repetición del análisis de la imagen determina durante cuánto tiempo Amazon Inspector supervisará las imágenes. La duración de la repetición del análisis de la imagen incluye dos modos: **fecha de última utilización** (predeterminada) o **fecha de última extracción**. Elija **Fecha de último uso** (predeterminada) si quiere usar la última fecha de uso de su actividad de clúster de Amazon ECS/Amazon EKS. Elija **Fecha de última extracción** si quiere usar la fecha de la última extracción de las imágenes de Amazon ECR para volver a analizar las imágenes. Las siguientes opciones están disponibles como duraciones de la repetición del análisis:
+ 14 días (predeterminado)
+ 30 días
+ 60 días
+ 90 días
+ 180 días
**Duración de la fecha de inserción de la imagen**
La duración de la fecha de inserción de la imagen determina durante cuánto tiempo Amazon Inspector supervisará de forma coherente las imágenes después de insertarlas en repositorios. Las siguientes opciones están disponibles como duraciones de la repetición del análisis:
+ 14 días (predeterminado)
+ 30 días
+ 60 días
+ 90 días
+ 180 días
+ Vida útil
**Configuración de la duración de la repetición del análisis de Amazon ECR**
1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la [https://console.aws.amazon.com/inspector/versión 2/home](https://console.aws.amazon.com/inspector/v2/home).
1. Seleccione el Región de AWS lugar en el que desee configurar la duración de la redigitalización de Amazon ECR.
1. En el panel de navegación, elija **Configuración general** y, a continuación, elija **Configuración de análisis de ECR**.
1. En **Duración de volver a analizar ECR**, elija el modo de volver a escanear la imagen y, a continuación, elija la duración correspondiente.
1. En **Fecha de inserción de la imagen**, elija la fecha de inserción de la imagen.
1. Seleccione **Save**.
## Descripción de los estados de las imágenes de los contenedores ECR
El Inspector solo escanea `ACTIVE` las imágenes de los contenedores ECR. Las imágenes de contenedores ECR en un `ARCHIVED` estado no se escanean. Para obtener más información sobre los comportamientos de escaneo, consulte[Comportamientos de los análisis de Amazon ECR](scanning-ecr.md#ecr-scan-behavior).
Cuando el estado de la imagen de un contenedor de ECR en ECR pasa a, el `ACTIVE` Inspector utiliza el `lastActivatedAt` campo para supervisar la duración del reescaneo.