Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector

Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez le scan Amazon ECR, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé.

Note

Amazon ECR utilise une politique de registre pour accorder des autorisations à un AWS mandant. Ce responsable dispose des autorisations requises pour appeler Amazon Inspector à APIs des fins de numérisation. Lorsque vous définissez le champ d'application de votre politique de registre, vous ne devez ni ajouter l'ecr:*action ni PutRegistryScanningConfiguration y ajouterdeny. Cela entraîne des erreurs au niveau du registre lors de l'activation et de la désactivation de l'analyse pour Amazon ECR.

Avec l'analyse de base, vous pouvez configurer vos référentiels pour qu'ils effectuent une analyse push ou des analyses manuelles. Grâce à l'analyse améliorée, vous recherchez les vulnérabilités du système d'exploitation et des packages de langage de programmation au niveau du registre. Pour une side-by-side comparaison des différences entre la numérisation de base et la numérisation améliorée, consultez la FAQ Amazon Inspector.

Note

La numérisation de base est fournie et facturée via Amazon ECR. Pour plus d'informations, consultez la tarification d'Amazon Elastic Container Registry. La numérisation améliorée est fournie et facturée via Amazon Inspector. Pour plus d'informations, consultez la Tarification d'Amazon Inspector.

Pour plus d'informations sur la façon d'activer le scan Amazon ECR, consultezActivation d'un type de scan. Pour plus d'informations sur la façon de consulter vos résultats, consultezGestion des résultats dans Amazon Inspector. Pour savoir comment afficher vos résultats au niveau de l'image, consultez la section Numérisation d'images dans le guide de l'utilisateur d'Amazon Elastic Container Registry. Vous pouvez également gérer les résultats qui Services AWS ne sont pas disponibles pour la numérisation de base, comme AWS Security Hub Amazon EventBridge.

Cette section fournit des informations sur le scan Amazon ECR et décrit comment configurer le scan amélioré pour les référentiels Amazon ECR.

Comportements de scan pour le scan Amazon ECR

Lorsque vous activez le scan Amazon ECR pour la première fois, Amazon Inspector détecte les images envoyées au cours des 14 derniers jours. Amazon Inspector scanne ensuite les images et définit les statuts de numérisation suractive. Si la numérisation continue est activée, Amazon Inspector surveille les images à condition qu'elles aient été repoussées dans les 14 jours (par défaut), que la last-in-use date soit dans les 14 jours (par défaut) ou que les images soient numérisées pendant la durée de nouvelle numérisation configurée. Pour les comptes Amazon Inspector créés avant le 16 mai 2025, la configuration par défaut est une nouvelle numérisation afin de surveiller les images si elles ont été envoyées ou extraites au cours des 90 derniers jours. Pour plus d'informations, consultez Configuration de la durée de nouvelle analyse d'Amazon ECR.

Pour une analyse continue, Amazon Inspector lance de nouvelles analyses de vulnérabilité des images de conteneurs dans les situations suivantes :

  • Chaque fois qu'une nouvelle image de conteneur est envoyée.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour cette image de conteneur (numérisation continue uniquement).

Si vous configurez votre dépôt pour la numérisation instantanée, les images ne sont numérisées que lorsque vous les envoyez.

Vous pouvez vérifier la date à laquelle une image de conteneur a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Images du conteneur sur la page de gestion du compte, ou en utilisant l'ListCoverageAPI. Amazon Inspector met à jour le champ Dernière numérisation d'une image Amazon ECR en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue la numérisation initiale d'une image de conteneur.

  • Lorsqu'Amazon Inspector analyse à nouveau une image de conteneur parce qu'un nouvel élément CVE (Common Vulnerabilities and Exposures) ayant un impact sur cette image de conteneur a été ajouté à la base de données Amazon Inspector.

Associer des images de conteneurs à des conteneurs en cours d'exécution

Amazon Inspector fournit une gestion complète de la sécurité des conteneurs en mappant les images des conteneurs aux conteneurs en cours d'exécution sur Amazon Elastic Container Service (Amazon ECS) et Amazon Elastic Kubernetes Service (Amazon EKS). Ces mappages fournissent des informations sur les vulnérabilités des images présentes sur des conteneurs en cours d'exécution.

Note

La politique gérée à AWSReadOnlyAccess elle seule ne fournit pas les autorisations suffisantes pour afficher le mappage entre les images Amazon ECR et les conteneurs en cours d'exécution. Vous avez besoin à la fois de politiques AWSInspector2ReadOnlyAccess gérées AWSReadOnlyAccess et de politiques gérées pour afficher les informations de mappage des images des conteneurs.

Grâce à cette fonctionnalité, vous pouvez hiérarchiser les efforts de correction en fonction des risques opérationnels et maintenir une couverture de sécurité dans l'ensemble de l'écosystème de conteneurs. Vous pouvez surveiller les images de conteneur actuellement utilisées et la date à laquelle les images de conteneur ont été utilisées pour la dernière fois sur un cluster Amazon ECS ou Amazon EKS au cours des dernières 24 heures. Pour les nouvelles images ou les nouveaux comptes, la disponibilité des données peut prendre jusqu'à 36 heures. Ces données sont ensuite mises à jour toutes les 24 heures. Ces informations seront disponibles dans vos résultats via la console Amazon Inspector sur l'écran de détails des résultats relatifs aux images de votre conteneur et via l'API Amazon Inspector via les ecrImageLastInUseAt filtres ecrImageInUseCount et.

Note

Ces données sont automatiquement envoyées aux résultats d'Amazon ECR lorsque vous activez le scan Amazon ECR et que vous configurez votre référentiel pour un scan continu. L'analyse continue doit être configurée au niveau du référentiel Amazon ECR. Pour plus d'informations, consultez la section Analyse améliorée dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

Vous pouvez également numériser à nouveau des images de conteneurs à partir de clusters en fonction de leur last-in-use date.

Cette fonctionnalité est également prise en charge sur Amazon ECS Amazon EKS Fargate.

Systèmes d'exploitation et types de supports pris en charge

Pour plus d'informations sur les systèmes d'exploitation pris en charge, consultezSystèmes d'exploitation pris en charge : numérisation Amazon ECR avec Amazon Inspector.

Les scans des référentiels Amazon ECR effectués par Amazon Inspector couvrent les types de supports pris en charge suivants :

Manifeste d'images
  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configuration de l'image
  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Couches d'images
  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

Note

Amazon Inspector ne prend pas en charge le type de "application/vnd.docker.distribution.manifest.list.v2+json" support pour l'analyse des référentiels Amazon ECR.