Amazon ECR で OS とプログラミング言語のパッケージの脆弱性を調べるためのイメージのスキャン

この機能を使用するために Amazon ECR に追加料金はかかりませんが、イメージをスキャンするために Amazon Inspector の料金がかかります。この機能は、Amazon Inspector がサポートされているリージョンで使用できます。詳細については、以下を参照してください。

Amazon ECR 拡張スキャンは、Amazon EKS および Amazon ECS でイメージがどのように使用されるかを示します。イメージが最後に使用された日時を確認し、各イメージを使用するクラスターの数を特定できます。この情報は、アクティブに使用されているイメージの脆弱性修復に優先順位を付けるのに役立ちます。新しく検出された脆弱性の影響を受ける可能性のあるクラスターをすばやく特定できます。これらの情報をリクエストしてレスポンスを表示する方法の詳細については、「」を参照してくださいDescribeImageScanFindings。

Amazon Inspector では特定のオペレーティングシステムのスキャンがサポートされます。完全なリストについては、Amazon Inspector ユーザーガイドの「サポートされているオペレーティングシステム - Amazon ECR スキャン」を参照してください。

Amazon Inspector は、サービスにリンクされた IAM ロールを使用します。このロールは、リポジトリに対する拡張スキャンを行うのに必要なアクセス許可を提供します。プライベートレジストリで拡張スキャンがオンになっている場合、サービスにリンクされた IAM ロールは Amazon Inspector によって自動的に作成されます。詳細については、「Amazon Inspector ユーザーガイド」の「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

プライベートレジストリの拡張スキャンを最初に有効にすると、Amazon Inspector は、イメージプッシュタイムスタンプに基づいて、過去 14 日間に Amazon ECR にプッシュされたイメージのみを認識します。古い画像は SCAN_ELIGIBILITY_EXPIRED スキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。

Amazon ECR プライベートレジストリで拡張スキャンがオンになっている場合、スキャンフィルターに一致するリポジトリは、拡張スキャンのみを使用してスキャンされます。フィルターと一致しないリポジトリのスキャン頻度は Off であり、スキャンされません。拡張スキャンを使用した手動スキャンはサポートされていません。詳細については、「Amazon ECR でスキャンするリポジトリを選択するためのフィルター」を参照してください。

複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。

拡張スキャンがオンになっている場合、リポジトリのスキャン頻度が変更されると、Amazon ECR は EventBridge にイベントを送信します。Amazon Inspector は、初期スキャンが完了したとき、およびイメージスキャン結果が作成、更新、または閉じられたときに、EventBridge にイベントを発行します。