Memindai gambar wadah Amazon Elastic Container Registry dengan Amazon Inspector - Amazon Inspector
Perilaku pemindaian untuk pemindaian Amazon ECRMemetakan gambar kontainer ke wadah yang sedang berjalanSistem operasi dan jenis media yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memindai gambar wadah Amazon Elastic Container Registry dengan Amazon Inspector

Amazon Inspector memindai gambar kontainer yang disimpan di Amazon Elastic Container Registry untuk mencari kerentanan perangkat lunak guna menghasilkan temuan kerentanan paket. Saat mengaktifkan pemindaian Amazon ECR, Anda menetapkan Amazon Inspector sebagai layanan pemindaian pilihan untuk registri pribadi Anda.

catatan

Amazon ECR menggunakan kebijakan registri untuk memberikan izin kepada kepala sekolah. AWS Kepala sekolah ini memiliki izin yang diperlukan untuk memanggil Amazon APIs Inspector untuk pemindaian. Saat menyetel cakupan kebijakan registri Anda, Anda tidak boleh menambahkan ecr:* tindakan atau PutRegistryScanningConfiguration masukdeny. Ini menghasilkan kesalahan pada tingkat registri saat mengaktifkan dan menonaktifkan pemindaian untuk Amazon ECR.

Dengan pemindaian dasar, Anda dapat mengonfigurasi repositori Anda untuk memindai saat push atau melakukan pemindaian manual. Dengan pemindaian yang disempurnakan, Anda memindai kerentanan paket sistem operasi dan bahasa pemrograman di tingkat registri. Untuk side-by-side perbandingan perbedaan antara pemindaian dasar dan yang disempurnakan, lihat FAQ Amazon Inspector.

catatan

Pemindaian dasar disediakan dan ditagih melalui Amazon ECR. Untuk informasi selengkapnya, lihat harga Amazon Elastic Container Registry. Pemindaian yang disempurnakan disediakan dan ditagih melalui Amazon Inspector. Untuk informasi selengkapnya, lihat harga Amazon Inspector.

Untuk informasi tentang cara mengaktifkan pemindaian Amazon ECR, lihatMengaktifkan jenis pemindaian. Untuk informasi tentang cara melihat temuan Anda, lihatMengelola temuan di Amazon Inspector. Untuk informasi tentang cara melihat temuan Anda di tingkat gambar, lihat Pemindaian gambar di Panduan Pengguna Amazon Elastic Container Registry. Anda juga dapat mengelola temuan di Layanan AWS tidak tersedia untuk pemindaian dasar, seperti AWS Security Hub dan Amazon EventBridge.

Bagian ini memberikan informasi tentang pemindaian Amazon ECR dan menjelaskan cara mengonfigurasi pemindaian yang disempurnakan untuk repositori Amazon ECR.

Perilaku pemindaian untuk pemindaian Amazon ECR

Saat pertama kali mengaktifkan pemindaian Amazon ECR, Amazon Inspector mendeteksi gambar yang didorong dalam 14 hari terakhir. Amazon Inspector kemudian memindai gambar dan mengatur status pemindaian ke. active Jika pemindaian berkelanjutan diaktifkan, Amazon Inspector memantau gambar selama didorong dalam 14 hari (secara default), last-in-use tanggal dalam 14 hari (secara default), atau gambar dipindai dalam durasi pemindaian ulang yang dikonfigurasi. Untuk akun Amazon Inspector yang dibuat sebelum 16 Mei 2025, konfigurasi defaultnya adalah pemindaian ulang untuk memantau gambar jika didorong atau ditarik dalam 90 hari terakhir. Untuk informasi selengkapnya, lihat Mengonfigurasi durasi pemindaian ulang Amazon ECR.

Untuk pemindaian berkelanjutan, Amazon Inspector memulai pemindaian kerentanan baru gambar kontainer dalam situasi berikut:

  • Setiap kali gambar kontainer baru didorong.

  • Setiap kali Amazon Inspector menambahkan item common vulnerabilities and exposure (CVE) baru ke database-nya, dan CVE tersebut relevan dengan image container tersebut (hanya pemindaian berkelanjutan).

Jika Anda mengonfigurasi repositori untuk pemindaian push, gambar hanya dipindai saat Anda mendorongnya.

Anda dapat memeriksa kapan gambar kontainer terakhir diperiksa untuk kerentanan dari tab Gambar kontainer di halaman Manajemen akun, atau dengan menggunakan ListCoverageAPI. Amazon Inspector memperbarui bidang Terakhir dipindai di bidang gambar Amazon ECR sebagai tanggapan atas peristiwa berikut:

  • Saat Amazon Inspector menyelesaikan pemindaian awal gambar kontainer.

  • Saat Amazon Inspector memindai ulang image container karena item common vulnerabilities and exposure (CVE) baru yang memengaruhi image container tersebut ditambahkan ke database Amazon Inspector.

Memetakan gambar kontainer ke wadah yang sedang berjalan

Amazon Inspector menyediakan manajemen keamanan kontainer yang komprehensif dengan memetakan image kontainer ke container yang sedang berjalan di Amazon Elastic Container Service (Amazon ECS) Service (Amazon ECS) dan Amazon Elastic Kubernetes Service (Amazon EKS). Pemetaan ini memberikan wawasan tentang kerentanan untuk gambar pada container yang sedang berjalan.

catatan

Kebijakan terkelola AWSReadOnlyAccess saja tidak memberikan izin yang memadai untuk melihat pemetaan antara image Amazon ECR dan container yang sedang berjalan. Anda memerlukan kebijakan AWSReadOnlyAccess dan kebijakan AWSInspector2ReadOnlyAccess terkelola untuk melihat informasi pemetaan gambar kontainer.

Dengan fitur ini, Anda dapat memprioritaskan upaya remediasi berdasarkan risiko operasional dan menjaga cakupan keamanan di seluruh ekosistem kontainer. Anda dapat memantau gambar kontainer yang saat ini digunakan dan kapan gambar kontainer terakhir digunakan pada kluster Amazon ECS atau Amazon EKS dalam 24 jam terakhir. Untuk gambar atau akun baru, dibutuhkan waktu hingga 36 jam agar data tersedia. Setelah itu, data ini diperbarui setiap 24 jam sekali. Informasi ini akan tersedia dalam temuan Anda melalui konsol Amazon Inspector di layar detail untuk temuan gambar kontainer Anda dan dengan Amazon Inspector API melalui ecrImageInUseCount dan filter. ecrImageLastInUseAt

catatan

Data ini secara otomatis dikirim ke temuan Amazon ECR saat Anda mengaktifkan pemindaian Amazon ECR dan mengonfigurasi repositori Anda untuk pemindaian berkelanjutan. Pemindaian berkelanjutan harus dikonfigurasi di tingkat repositori Amazon ECR. Untuk informasi selengkapnya, lihat Pemindaian yang disempurnakan di Panduan Pengguna Amazon Elastic Container Registry.

Anda juga dapat memindai ulang gambar kontainer dari cluster berdasarkan tanggalnya last-in-use.

Fitur ini juga didukung di Amazon ECS Amazon EKS Fargate.

Sistem operasi dan jenis media yang didukung

Untuk informasi tentang sistem operasi yang didukung, lihatSistem operasi yang didukung: Pemindaian Amazon ECR dengan Amazon Inspector.

Pemindaian Amazon Inspector dari repositori Amazon ECR mencakup jenis media yang didukung berikut:

Manifes gambar

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Konfigurasi gambar

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Lapisan gambar

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

catatan

Amazon Inspector tidak mendukung jenis "application/vnd.docker.distribution.manifest.list.v2+json" media untuk pemindaian repositori Amazon ECR.