翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon ECR で OS とプログラミング言語のパッケージの脆弱性を調べるためのイメージのスキャン
Amazon ECR 拡張スキャンは、コンテナイメージの脆弱性スキャンを提供する Amazon Inspector との統合です。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。スキャンの結果は、Amazon ECR と Amazon Inspector の両方で直接表示できます。Amazon Inspector の詳細については、*Amazon Inspector ユーザーガイド*の [Scanning container images with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html) を参照してください。
拡張スキャンでは、自動連続スキャン用に構成するリポジトリと、プッシュ時にスキャンするように構成するリポジトリを選択できます。これは、スキャンフィルターを設定することによって行われます。
## 拡張スキャンの考慮事項
Amazon ECR 拡張スキャンを有効にする前に、以下の点について考慮してください。
+ この機能を使用するために Amazon ECR に追加料金はかかりませんが、イメージをスキャンするために Amazon Inspector の料金がかかります。この機能は、Amazon Inspector がサポートされているすべてのリージョンで利用できます。詳細については、以下を参照してください。
+ Amazon Inspector の料金 – [Amazon Inspector の料金](https://aws.amazon.com/inspector/pricing/)。
+ Amazon Inspector サポートされているリージョン – [リージョンとエンドポイント](https://docs.aws.amazon.com//inspector/latest/user/inspector_regions.html)。
+ Amazon ECR 拡張スキャンは、Amazon EKS と Amazon ECS でイメージがどのように使用されるかを示します。イメージが最後に使用された日時を確認し、各イメージを使用するクラスターの数を特定できます。この情報は、アクティブに使用されているイメージの脆弱性修復に優先順位を設定するのに役立ちます。新しく検出された脆弱性の影響を受ける可能性のあるクラスターをすばやく判断できます。これらの情報をリクエストしてレスポンスを表示する方法の詳細については、「[https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html](https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html)」を参照してください。
+ Amazon Inspector では特定のオペレーティングシステムのスキャンがサポートされます。完全なリストについては、*Amazon Inspector ユーザーガイド*の「[サポートされているオペレーティングシステム - Amazon ECR スキャン](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os)」を参照してください。
+ Amazon Inspector は、サービスにリンクされた IAM ロールを使用します。このロールは、リポジトリに対する拡張スキャンを行うのに必要なアクセス許可を提供します。プライベートレジストリで拡張スキャンがオンになっている場合、サービスにリンクされた IAM ロールは Amazon Inspector によって自動的に作成されます。詳細については、「Amazon Inspector ユーザーガイド」の「[Amazon Inspector でのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/inspector/latest/user/using-service-linked-roles.html)」を参照してください。
+ プライベートレジストリの拡張スキャンを最初に有効にすると、Amazon Inspector は、イメージプッシュタイムスタンプに基づいて、過去 14 日間に Amazon ECR にプッシュされたイメージのみを認識します。古い画像は ` SCAN_ELIGIBILITY_EXPIRED` スキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。
+ Amazon ECR プライベートレジストリで拡張スキャンがオンになっている場合、スキャンフィルターに一致するリポジトリは、拡張スキャンのみを使用してスキャンされます。フィルターと一致しないリポジトリのスキャン頻度は `Off` であり、スキャンされません。拡張スキャンを使用した手動スキャンはサポートされていません。詳細については、「[Amazon ECR でスキャンするリポジトリを選択するためのフィルター](image-scanning-filters.md)」を参照してください。
+ 複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。
+ 拡張スキャンがオンになっている場合、リポジトリのスキャン頻度が変更されると、Amazon ECR は EventBridge にイベントを送信します。Amazon Inspector は、初期スキャンが完了したとき、およびイメージスキャン結果が作成、更新、または閉じられたときに、EventBridge にイベントを発行します。
## Amazon Inspector でのイメージの拡張スキャン期間の変更
拡張スキャンを有効にした後、Amazon ECR は、設定された期間、新しくプッシュされたイメージを連続してスキャンします。デフォルトでは、Amazon Inspector はイメージが削除されるか、拡張スキャンが無効になるまでリポジトリをモニタリングします。環境のニーズに合わせて、Amazon Inspector コンソールでプッシュ日の期間 (最大有効期間) と再スキャン期間の両方を設定できます。リポジトリのスキャン期間が経過すると、スキャンステータスは `SCAN_ELIGIBILITY_EXPIRED` と表示されます。Amazon Inspector で Amazon ECR の再スキャン期間の設定の詳細については、「Amazon Inspector ユーザーガイド」の「[Configuring the Amazon ECR re-scan duration](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#scan-duration-setting)」を参照してください。