翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECR でのイメージスキャンのトラブルシューティング
以下は、一般的なイメージスキャンの失敗です。このようなエラーは、イメージの詳細を表示するか、 API または API AWS CLI を使用して、Amazon ECR コンソールで表示できますDescribeImageScanFindings。
- UnsupportedImageError
-
Amazon ECR でのベーシックイメージスキャニングがサポートされていないオペレーティングシステムを使用して構築されたイメージに対してベーシックスキャンを実行しようとすると、
UnsupportedImageErrorエラーが発生することがあります。Amazon ECR は、Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine、RHEL Linux ディストリビューションのメジャーバージョンのパッケージ脆弱性スキャニングをサポートします。ディストリビューションでベンダーからのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。Amazon ECRは、Docker スクラッチイメージから構築されたイメージのスキャンをサポートしません。 重要
拡張スキャンを使用する場合、Amazon Inspector では特定のオペレーティングシステムおよびメディアタイプのスキャンがサポートされます。完全なリストについては、Amazon Inspector ユーザーガイドの「サポートされているオペレーティングおよびメディアタイプ」を参照してください。
UNDEFINED深刻度が返される-
深刻度が
UNDEFINEDのスキャン結果が返される場合があります。この問題の一般的な原因は以下のとおりです。-
この脆弱性に、CVE ソースによって優先度が割り当てられていなかった。
-
この脆弱性に、Amazon ECR が認識しない優先度が割り当てられていた。
脆弱性の深刻度と説明を判断するには、ソースから直接 CVE を表示できます。
-
スキャンステータス SCAN_ELIGIBILITY_EXPIRED を理解する
プライベートレジストリに対して Amazon Inspector を使用した拡張スキャンが有効になっている場合にスキャンの脆弱性を表示すると、SCAN_ELIGIBILITY_EXPIRED のスキャンステータスが表示されることがあります。この問題の最も一般的な原因は以下のとおりです。
-
プライベートレジストリの拡張スキャンを最初にオンにすると、Amazon Inspector は、画像プッシュのタイムスタンプに基づいて、過去 30 日以内に Amazon ECR にプッシュされた画像のみを認識します。古い画像は
SCAN_ELIGIBILITY_EXPIREDスキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。 -
Amazon Inspector コンソールで ECR 再スキャン時間を変更し、その時間が経過すると、イメージのスキャンステータスは
expiredの理由コードでinactiveに変更され、イメージに関するすべての結果はクローズされるようにスケジュールされます。その結果、Amazon ECR コンソールにスキャンステータスがSCAN_ELIGIBILITY_EXPIREDとして一覧表示されます。
