Scannez les images pour détecter les vulnérabilités du système d'exploitation et des packages de langage de programmation dans Amazon ECR - Amazon ECR
Considérations relatives à l'analyse amélioréeModification de la durée de l'analyse améliorée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Scannez les images pour détecter les vulnérabilités du système d'exploitation et des packages de langage de programmation dans Amazon ECR

L'analyse améliorée d'Amazon ECR est une intégration avec Amazon Inspector qui fournit une analyse de vulnérabilité pour vos images de conteneur. Vos images de conteneur sont analysées à la fois pour les vulnérabilités des systèmes d’exploitation et des packages de langage de programmation. Vous pouvez afficher les résultats de l'analyse directement avec Amazon ECR et avec Amazon Inspector. Pour plus d'informations sur Amazon Inspector, consultez Analyse des images de conteneur avec Amazon Inspector dans le Guide de l'utilisateur Amazon Inspector.

Avec l'analyse améliorée, vous pouvez choisir les référentiels qui sont configurés pour une analyse automatique et continue et ceux qui sont configurés pour une analyse sur demande. Cela se fait en définissant des filtres d'analyse.

Considérations relatives à l'analyse améliorée

Tenez compte des points suivants avant d'activer le scan amélioré Amazon ECR.

  • L'utilisation de cette fonctionnalité n'entraîne aucun coût supplémentaire pour Amazon ECR, mais Amazon Inspector facture la numérisation de vos images. Cette fonctionnalité est disponible dans les régions où Amazon Inspector est pris en charge. Pour plus d'informations, consultez :

  • La numérisation améliorée Amazon ECR montre comment les images sont utilisées sur Amazon EKS et Amazon ECS. Vous pouvez voir quand les images ont été utilisées pour la dernière fois et identifier le nombre de clusters utilisant chaque image. Ces informations vous aident à prioriser la correction des vulnérabilités pour les images activement utilisées. Vous pouvez rapidement déterminer quels clusters sont susceptibles d'être affectés par des vulnérabilités récemment découvertes. Pour plus d'informations sur la manière de demander ces informations et d'afficher la réponse, consultez DescribeImageScanFindings.

  • Amazon Inspector prend en charge l'analyse pour des systèmes d'exploitation spécifiques. Pour obtenir la liste complète, consultez Systèmes d'exploitation pris en charge – Analyse Amazon ECR dans le Guide de l'utilisateur Amazon Inspector.

  • Amazon Inspector utilise un rôle IAM lié à un service, qui fournit les autorisations nécessaires pour fournir une analyse améliorée pour vos référentiels. Le rôle IAM lié à un service est créé automatiquement par Amazon Inspector lorsque l'analyse améliorée est activée pour votre registre privé. Pour plus d'informations, consultez Utilisation des rôles liés à un service pour Amazon Inspector dans le Guide de l'utilisateur d'Amazon Inspector.

  • Lorsque vous activez initialement la numérisation améliorée pour votre registre privé, Amazon Inspector reconnaît uniquement les images envoyées à Amazon ECR au cours des 14 derniers jours, en fonction de l'horodatage des images transmises. Les images plus anciennes auront le statut d'analyse SCAN_ELIGIBILITY_EXPIRED. Si vous souhaitez que ces images soient analysées par Amazon Inspector, vous devez les envoyer à nouveau dans votre référentiel.

  • Lorsque l'analyse améliorée est activée pour votre registre privé Amazon ECR, les référentiels correspondant aux filtres d'analyse sont analysés en utilisant uniquement l'analyse améliorée. Tous les référentiels qui ne correspondent pas à un filtre auront une fréquence d'analyse Off et ne seront pas analysés. Les analyses manuelles qui utilisent l'analyse améliorée ne sont pas prises en charge. Pour de plus amples informations, veuillez consulter Filtres permettant de choisir les référentiels à analyser dans Amazon ECR.

  • Si vous spécifiez des filtres distincts pour l'analyse lors du transfert par push et l'analyse continue et qu'un même référentiel correspond aux critères des deux filtres, Amazon ECR applique le filtre d'analyse continue plutôt que le filtre d'analyse lors du transfert par push pour ce référentiel.

  • Lorsque le scan amélioré est activé, Amazon ECR envoie un événement EventBridge lorsque la fréquence d'analyse d'un référentiel est modifiée. Amazon Inspector émet des événements EventBridge lorsqu'une numérisation initiale est terminée et lorsqu'un résultat de numérisation d'image est créé, mis à jour ou fermé.

Modification de la durée de numérisation améliorée pour les images dans Amazon Inspector

Après avoir activé la numérisation améliorée, Amazon ECR scanne en permanence les images récemment envoyées pendant la durée configurée. Par défaut, Amazon Inspector surveille vos référentiels jusqu'à ce que les images soient supprimées ou que la numérisation améliorée soit désactivée. Vous pouvez configurer à la fois la durée de la date de diffusion (jusqu'à Lifetime) et la durée de la nouvelle analyse dans la console Amazon Inspector en fonction des besoins de votre environnement. Lorsque la durée d'analyse d'un référentiel est écoulée, l'état de l'analyse s'affiche sous la forme. SCAN_ELIGIBILITY_EXPIRED Pour plus d'informations sur la configuration des paramètres de durée de nouvelle analyse pour Amazon ECR dans Amazon Inspector, consultez Configuration de la durée de nouvelle analyse Amazon ECR dans le guide de l'utilisateur d'Amazon Inspector.