Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector
Amazon ECR スキャンのスキャン動作実行中のコンテナへのコンテナイメージのマッピングサポートされているオペレーティングシステムとメディアタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン

Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ脆弱性の検出結果を生成します。Amazon ECR のスキャンをアクティブ化するときは、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。

注記

Amazon ECR はレジストリポリシーを使用して、 AWS プリンシパルにアクセス許可を付与します。このプリンシパルには、スキャンのために Amazon Inspector APIsを呼び出すために必要なアクセス許可があります。レジストリポリシーの範囲を設定するときは、 ecr:* PutRegistryScanningConfigurationアクションまたは を に追加しないでくださいdeny。これにより、Amazon ECR のスキャンを有効または無効にすると、レジストリレベルでエラーが発生します。

基本スキャンでは、プッシュ時にスキャンするか、手動スキャンを実行するようにレポジトリを設定できます。拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。基本スキャンと拡張スキャンの違いを並べて比較するには、「Amazon Inspector に関するよくある質問」を参照してください。

注記

基本スキャンは Amazon ECR を通じて提供され、請求されます。詳細については、「Amazon Elastic Container Registry の料金」を参照してください。拡張スキャンは Amazon Inspector を通じて提供され、請求されます。詳細については、「Amazon Inspector の料金」を参照してください。

Amazon ECR スキャンをアクティブ化する方法については、「スキャンタイプをアクティブ化する」を参照してください。検出結果を表示する方法の詳細については、「Amazon Inspector での検出結果の管理」を参照してください。検出結果をイメージレベルで表示する方法の詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「イメージスキャン」を参照してください。また、 AWS Security Hub や Amazon EventBridge など、基本スキャンに AWS のサービス 使用できない の検出結果を管理することもできます。

このセクションでは、Amazon ECR スキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。

Amazon ECR スキャンのスキャン動作

Amazon ECR スキャンを初めてアクティブ化すると、Amazon Inspector は過去 14 日以内にプッシュされたイメージを検出します。次にAmazon Inspector はイメージをスキャンし、スキャンステータスを に設定しますactive。連続スキャンが有効になっている場合、Amazon Inspector は 14 日以内にプッシュされたイメージ (デフォルトでは )、last-in-use日が 14 日以内 (デフォルトでは )、またはイメージが設定された再スキャン期間内にスキャンされる限り、イメージをモニタリングします。2025 年 5 月 16 日より前に作成された Amazon Inspector アカウントの場合、デフォルト設定では、過去 90 日以内にプッシュまたはプルされたイメージを再スキャンしてモニタリングします。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

リポジトリをプッシュスキャン用に設定した場合、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

実行中のコンテナへのコンテナイメージのマッピング

Amazon Inspector は、コンテナイメージを Amazon Elastic Container Service (Amazon ECS) と Amazon Elastic Kubernetes Service (Amazon EKS) 全体の実行中のコンテナにマッピングすることで、包括的なコンテナセキュリティ管理を提供します。これらのマッピングは、実行中のコンテナ上のイメージの脆弱性に関するインサイトを提供します。

注記

マネージドポリシーAWSReadOnlyAccessだけでは、Amazon ECR イメージと実行中のコンテナ間のマッピングを表示するための十分なアクセス許可は提供されません。コンテナイメージマッピング情報を表示するには、 AWSReadOnlyAccessAWSInspector2ReadOnlyAccessの両方の管理ポリシーが必要です。

この機能を使用すると、運用リスクに基づいて修復作業に優先順位を付け、コンテナエコシステム全体のセキュリティカバレッジを維持できます。現在使用中のコンテナイメージと、過去 24 時間以内に Amazon ECS または Amazon EKS クラスターでコンテナイメージが最後に使用された日時をモニタリングできます。新しいイメージまたはアカウントの場合、データが利用可能になるまでに最大 36 時間かかることがあります。その後、このデータは 24 時間に 1 回更新されます。この情報は、コンテナイメージの検出結果の詳細画面の Amazon Inspector コンソールを介して検出結果で利用でき、 ecrImageInUseCount および ecrImageLastInUseAtフィルターを介して Amazon Inspector API で利用できます。

注記

このデータは、Amazon ECR スキャンをアクティブ化し、継続的スキャン用にリポジトリを設定すると、Amazon ECR の検出結果に自動的に送信されます。継続的スキャンは、Amazon ECR リポジトリレベルで設定する必要があります。詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「拡張スキャン」を参照してください。

また、last-in-use日に基づいてクラスターからコンテナイメージを再スキャンすることもできます。

この機能は Amazon ECS Amazon EKS Fargate でもサポートされています。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

イメージマニフェスト

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

イメージ設定

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

イメージレイヤー

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

注記

Amazon Inspector は、Amazon ECR リポジトリのスキャン用の"application/vnd.docker.distribution.manifest.list.v2+json"メディアタイプをサポートしていません。