Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memindai gambar wadah Amazon Elastic Container Registry dengan Amazon Inspector
<a name="scanning-ecr"></a>

 [Amazon Inspector memindai gambar kontainer yang disimpan di Amazon Elastic Container Registry untuk mencari kerentanan perangkat lunak guna menghasilkan temuan kerentanan paket.](https://docs.aws.amazon.com/) Saat mengaktifkan pemindaian Amazon ECR, Anda menetapkan Amazon Inspector sebagai layanan pemindaian pilihan untuk registri pribadi Anda. 

**catatan**  
 Amazon ECR menggunakan kebijakan registri untuk memberikan izin kepada kepala sekolah. AWS Kepala sekolah ini memiliki izin yang diperlukan untuk memanggil Amazon APIs Inspector untuk pemindaian. Saat menyetel cakupan kebijakan registri Anda, Anda tidak boleh menambahkan `ecr:*` tindakan atau `PutRegistryScanningConfiguration` masuk`deny`. Ini menghasilkan kesalahan pada tingkat registri saat mengaktifkan dan menonaktifkan pemindaian untuk Amazon ECR. 

 Dengan pemindaian dasar, Anda dapat mengonfigurasi repositori Anda untuk memindai saat push atau melakukan pemindaian manual. Dengan pemindaian yang disempurnakan, Anda memindai sistem operasi dan kerentanan paket bahasa pemrograman di tingkat registri. Untuk side-by-side perbandingan perbedaan antara pemindaian dasar dan yang disempurnakan, lihat FAQ [Amazon Inspector](https://aws.amazon.com/inspector/faqs/). 

**catatan**  
 Pemindaian dasar disediakan dan ditagih melalui Amazon ECR. Untuk informasi selengkapnya, lihat [harga Amazon Elastic Container Registry](https://aws.amazon.com/ecr/pricing/). Pemindaian yang disempurnakan disediakan dan ditagih melalui Amazon Inspector. Untuk informasi selengkapnya, lihat [harga Amazon Inspector](https://aws.amazon.com/inspector/pricing/). 

 Untuk informasi tentang cara mengaktifkan pemindaian Amazon ECR, lihat [Mengaktifkan jenis pemindaian](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Untuk informasi tentang cara melihat temuan, lihat [Melihat temuan Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html). Untuk informasi tentang cara melihat temuan dalam Amazon ECR pada tingkat gambar, lihat [Pemindaian gambar](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) di *Panduan Pengguna Amazon Elastic Container Registry*. Anda dapat mengelola temuan menggunakan Layanan AWS tidak tersedia untuk pemindaian dasar, seperti [AWS Security Hub CSPM dan Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html). 

 Anda dapat melihat konfigurasi pemindaian untuk setiap repositori di Amazon Inspector melalui halaman cakupan dan. APIs Namun, pengaturan konfigurasi untuk pemindaian dasar versus pemindaian berkelanjutan hanya dapat dimodifikasi di Amazon ECR. Amazon Inspector menyediakan visibilitas ke pengaturan ini tetapi tidak menawarkan kemampuan modifikasi langsung. Untuk informasi selengkapnya, lihat [Memindai gambar untuk kerentanan perangkat lunak di Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) di Panduan Pengguna *Amazon ECR*. 

 Bagian ini memberikan informasi tentang pemindaian Amazon ECR dan menjelaskan cara mengonfigurasi pemindaian yang disempurnakan untuk repositori Amazon ECR. 

## Perilaku pemindaian untuk pemindaian Amazon ECR
<a name="ecr-scan-behavior"></a>

 Saat pertama kali mengaktifkan pemindaian Amazon ECR, Amazon Inspector mendeteksi gambar yang didorong dalam 14 hari terakhir. Amazon Inspector kemudian memindai gambar dan mengatur status pemindaian ke. `ACTIVE` Amazon Inspector hanya akan memindai gambar yang aktif di ECR (`imageStatus`field is). `ACTIVE` Gambar dengan status Diarsipkan di ECR (`imageStatus`field is`ARCHIVED`) tidak dipindai oleh Amazon Inspector. 

 Jika pemindaian berkelanjutan diaktifkan, Amazon Inspector memantau gambar selama didorong dalam 14 hari (secara default), last-in-use tanggal dalam 14 hari (secara default), atau gambar dipindai dalam durasi pemindaian ulang yang dikonfigurasi. Untuk akun Amazon Inspector yang dibuat sebelum 16 Mei 2025, konfigurasi defaultnya adalah pemindaian ulang untuk memantau gambar jika didorong atau ditarik dalam 90 hari terakhir. Untuk informasi selengkapnya, lihat [Mengonfigurasi durasi pemindaian ulang Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html). 

Untuk pemindaian berkelanjutan, Amazon Inspector memulai pemindaian kerentanan baru gambar kontainer dalam situasi berikut:
+ Setiap kali gambar kontainer baru didorong.
+ Setiap kali Amazon Inspector menambahkan item common vulnerabilities and exposure (CVE) baru ke database-nya, dan CVE tersebut relevan dengan image container tersebut (hanya pemindaian berkelanjutan).
+ Setiap kali gambar kontainer dialihkan dari diarsipkan ke aktif di ECR.

Jika Anda mengonfigurasi repositori untuk pemindaian push, gambar hanya dipindai saat Anda mendorongnya.

Anda dapat memeriksa kapan gambar kontainer terakhir diperiksa untuk kerentanan dari tab **Gambar kontainer** di halaman **Manajemen akun** atau dengan menggunakan [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html)API. Amazon Inspector memperbarui bidang **Terakhir dipindai di** bidang gambar Amazon ECR sebagai tanggapan atas peristiwa berikut: 
+ Saat Amazon Inspector menyelesaikan pemindaian awal gambar kontainer.
+ Saat Amazon Inspector memindai ulang image container karena item common vulnerabilities and exposure (CVE) baru yang memengaruhi image container tersebut ditambahkan ke database Amazon Inspector.

### Gambar kontainer ECR yang diarsipkan
<a name="archived-ecr-images"></a>

 Amazon Inspector tidak memindai gambar kontainer yang diarsipkan dalam ECR (is). `imageStatus` `ARCHIVED` Ketika gambar aktif di ECR dialihkan ke arsip, Amazon Inspector secara otomatis menutup temuan dan kemudian menghapus temuan setelah 3 hari. Jika gambar kontainer yang diarsipkan dialihkan ke aktif di ECR, Amazon Inspector akan memicu pemindaian baru. 

## Memetakan gambar kontainer ke wadah yang sedang berjalan
<a name="ecr-mapping-container-images"></a>

 Amazon Inspector menyediakan manajemen keamanan kontainer yang komprehensif dengan memetakan image kontainer ke container yang sedang berjalan di Amazon Elastic Container Service (Amazon ECS) Service (Amazon ECS) dan Amazon Elastic Kubernetes Service (Amazon EKS). Pemetaan ini memberikan wawasan tentang kerentanan untuk gambar pada container yang sedang berjalan. 

**catatan**  
 Kebijakan terkelola `AWSReadOnlyAccess` saja tidak memberikan izin yang memadai untuk melihat pemetaan antara image Amazon ECR dan container yang sedang berjalan. Anda memerlukan kebijakan `AWSReadOnlyAccess` dan kebijakan `AWSInspector2ReadOnlyAccess` terkelola untuk melihat informasi pemetaan gambar kontainer. 

 Anda dapat memprioritaskan upaya remediasi berdasarkan risiko operasional dan menjaga cakupan keamanan di seluruh ekosistem kontainer. Anda dapat melihat berapa banyak gambar kontainer yang saat ini digunakan dan gambar kontainer mana yang terakhir digunakan pada kluster Amazon ECS atau Amazon EKS dalam 24 jam terakhir. Anda juga dapat melihat berapa banyak tugas Amazon ECS dan pod Amazon EKS yang digunakan. Informasi ini dapat ditemukan di konsol Amazon Inspector pada layar detail untuk temuan gambar kontainer dan dengan `ecrImageLastInUseAt` filter `ecrImageInUseCount` dan untuk tipe [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html)data. Untuk gambar atau akun kontainer baru, dibutuhkan waktu hingga 36 jam agar data tersedia. Setelah itu, data ini diperbarui setiap 24 jam sekali. Untuk informasi selengkapnya, lihat [Melihat temuan Amazon Inspector dan Melihat detail untuk temuan](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html). 

**catatan**  
 Data ini secara otomatis dikirim ke temuan Amazon ECR saat Anda mengaktifkan pemindaian Amazon ECR dan mengonfigurasi repositori Anda untuk pemindaian berkelanjutan. Pemindaian berkelanjutan harus dikonfigurasi di tingkat repositori Amazon ECR. Untuk informasi selengkapnya, lihat [Pemindaian yang disempurnakan](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html) di *Panduan Pengguna Amazon Elastic Container Registry*. 

 Anda juga dapat [memindai ulang gambar kontainer](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html) dari cluster berdasarkan tanggalnya last-in-use. 

 Fitur ini juga didukung di Fargate dengan Amazon ECS dan Amazon EKS. 

## Sistem operasi dan jenis media yang didukung
<a name="ecr-supported-media"></a>

 Untuk informasi tentang sistem operasi yang didukung, lihat[Sistem operasi yang didukung: Pemindaian Amazon ECR dengan Amazon Inspector](supported.md#supported-os-ecr). 

 Pemindaian Amazon Inspector dari repositori Amazon ECR mencakup jenis media yang didukung berikut: 

**Manifes gambar**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**Konfigurasi gambar**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**Lapisan gambar**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**catatan**  
 Amazon Inspector tidak mendukung jenis `"application/vnd.docker.distribution.manifest.list.v2+json"` media untuk pemindaian repositori Amazon ECR.