Scansione delle immagini dei container Amazon Elastic Container Registry con Amazon Inspector - Amazon Inspector
Comportamenti di scansione per la scansione Amazon ECRMappatura delle immagini dei container ai container in esecuzioneSistemi operativi e tipi di supporti supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansione delle immagini dei container Amazon Elastic Container Registry con Amazon Inspector

Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi la scansione Amazon ECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato.

Nota

Amazon ECR utilizza una politica di registro per concedere le autorizzazioni a un AWS principale. Questo principale dispone delle autorizzazioni necessarie per chiamare Amazon APIs Inspector per la scansione. Quando imposti l'ambito della politica del registro, non devi aggiungere l'ecr:*azione o PutRegistryScanningConfiguration entrare. deny Ciò comporta errori a livello di registro durante l'attivazione e la disabilitazione della scansione per Amazon ECR.

Con la scansione di base, puoi configurare i tuoi repository per eseguire scansioni istantanee o eseguire scansioni manuali. Con la scansione avanzata, è possibile eseguire la scansione delle vulnerabilità del sistema operativo e dei pacchetti dei linguaggi di programmazione a livello di registro. Per un side-by-side confronto delle differenze tra la scansione di base e quella avanzata, consulta le domande frequenti su Amazon Inspector.

Nota

La scansione di base viene fornita e fatturata tramite Amazon ECR. Per ulteriori informazioni, consulta i prezzi di Amazon Elastic Container Registry. La scansione avanzata viene fornita e fatturata tramite Amazon Inspector. Per ulteriori informazioni, consulta Prezzi di Amazon Inspector.

Per informazioni su come attivare la scansione Amazon ECR, consultaAttivazione di un tipo di scansione. Per informazioni su come visualizzare i risultati, consultaGestione dei risultati in Amazon Inspector. Per informazioni su come visualizzare i risultati a livello di immagine, consulta Image scanning nella Amazon Elastic Container Registry User Guide. Puoi anche gestire i risultati Servizi AWS non disponibili per la scansione di base, come Amazon AWS Security Hub e Amazon EventBridge.

Questa sezione fornisce informazioni sulla scansione di Amazon ECR e descrive come configurare la scansione avanzata per i repository Amazon ECR.

Comportamenti di scansione per la scansione Amazon ECR

Quando attivi per la prima volta la scansione Amazon ECR, Amazon Inspector rileva le immagini inviate negli ultimi 14 giorni. Amazon Inspector esegue quindi la scansione delle immagini e imposta gli stati di scansione su. active Se la scansione continua è abilitata, Amazon Inspector monitora le immagini a condizione che siano state inviate entro 14 giorni (per impostazione predefinita), che la last-in-use data sia entro 14 giorni (per impostazione predefinita) o che le immagini vengano scansionate entro la durata di nuova scansione configurata. Per gli account Amazon Inspector creati prima del 16 maggio 2025, la configurazione predefinita prevede una nuova scansione per monitorare le immagini se sono state inviate o recuperate negli ultimi 90 giorni. Per ulteriori informazioni, consulta Configurazione della durata della nuova scansione di Amazon ECR.

Per la scansione continua, Amazon Inspector avvia nuove scansioni di vulnerabilità delle immagini dei container nelle seguenti situazioni:

  • Ogni volta che viene inserita una nuova immagine del contenitore.

  • Ogni volta che Amazon Inspector aggiunge un nuovo elemento CVE (Common Vulnerabilities and Exposures) al suo database e tale CVE è rilevante per l'immagine del contenitore (solo scansione continua).

Se configuri il tuo repository per la scansione on push, le immagini vengono scansionate solo quando vengono inviate.

Puoi verificare l'ultima volta in cui è stata verificata la presenza di vulnerabilità in un'immagine del contenitore dalla scheda Immagini del contenitore nella pagina di gestione dell'account o utilizzando l'API. ListCoverage Amazon Inspector aggiorna il campo Last scanned at di un'immagine Amazon ECR in risposta ai seguenti eventi:

  • Quando Amazon Inspector completa una scansione iniziale dell'immagine di un contenitore.

  • Quando Amazon Inspector esegue nuovamente la scansione di un'immagine del contenitore, è stato aggiunto al database Amazon Inspector un nuovo elemento CVE (Common Vulnerabilities and Exposures) che influisce sull'immagine del contenitore.

Mappatura delle immagini dei container ai container in esecuzione

Amazon Inspector offre una gestione completa della sicurezza dei container mappando le immagini dei container ai container in esecuzione su Amazon Elastic Container Service (Amazon ECS) e Amazon Elastic Kubernetes Service (Amazon EKS). Queste mappature forniscono informazioni sulle vulnerabilità delle immagini sui container in esecuzione.

Nota

La policy gestita AWSReadOnlyAccess da sola non fornisce autorizzazioni sufficienti per visualizzare la mappatura tra le immagini di Amazon ECR e i container in esecuzione. Sono necessarie sia le politiche AWSInspector2ReadOnlyAccess gestite che quelle AWSReadOnlyAccess gestite per visualizzare le informazioni sulla mappatura delle immagini dei container.

Con questa funzionalità, puoi dare priorità agli sforzi di riparazione in base ai rischi operativi e mantenere la copertura di sicurezza nell'intero ecosistema di container. Puoi monitorare le immagini dei container attualmente in uso e l'ultima volta che le immagini dei container sono state utilizzate su un cluster Amazon ECS o Amazon EKS nelle ultime 24 ore. Per nuove immagini o account, possono essere necessarie fino a 36 ore prima che i dati siano disponibili. Successivamente, questi dati vengono aggiornati una volta ogni 24 ore. Queste informazioni saranno disponibili nei risultati tramite la console Amazon Inspector nella schermata dei dettagli dei risultati relativi all'immagine del contenitore e con l'API Amazon Inspector tramite ecrImageInUseCount i filtri e. ecrImageLastInUseAt

Nota

Questi dati vengono inviati automaticamente ai risultati di Amazon ECR quando attivi la scansione Amazon ECR e configuri il tuo repository per la scansione continua. La scansione continua deve essere configurata a livello di repository Amazon ECR. Per ulteriori informazioni, consulta la sezione Scansione avanzata nella Guida per l'utente di Amazon Elastic Container Registry.

Puoi anche scansionare nuovamente le immagini dei container dai cluster in base alla loro last-in-use data.

Questa funzionalità è supportata anche su Amazon ECS Amazon EKS Fargate.

Sistemi operativi e tipi di supporti supportati

Per informazioni sui sistemi operativi supportati, vedereSistemi operativi supportati: scansione Amazon ECR con Amazon Inspector.

Le scansioni di Amazon Inspector dei repository Amazon ECR coprono i seguenti tipi di supporti supportati:

Manifesto dell'immagine

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configurazione dell'immagine

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Livelli di immagine

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

Nota

Amazon Inspector non supporta il tipo di supporto per la "application/vnd.docker.distribution.manifest.list.v2+json" scansione dei repository Amazon ECR.