Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector
Amazon ECR スキャンのスキャン動作実行中のコンテナへのコンテナイメージのマッピングサポートされているオペレーティングシステムとメディアタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン

Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ脆弱性の検出結果を生成します。Amazon ECR のスキャンをアクティブ化するときは、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。

注記

Amazon ECR はレジストリポリシーを使用して、 AWS プリンシパルにアクセス許可を付与します。このプリンシパルには、スキャンのために Amazon Inspector APIsを呼び出すために必要なアクセス許可があります。レジストリポリシーの範囲を設定するときは、 ecr:* PutRegistryScanningConfigurationアクションまたは を に追加しないでくださいdeny。これにより、Amazon ECR のスキャンを有効または無効にすると、レジストリレベルでエラーが発生します。

基本スキャンでは、プッシュ時にスキャンするか、手動スキャンを実行するようにレポジトリを設定できます。拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。基本スキャンと拡張スキャンの違いを並べて比較するには、「Amazon Inspector に関するよくある質問」を参照してください。

注記

基本スキャンは Amazon ECR を通じて提供され、請求されます。詳細については、「Amazon Elastic Container Registry の料金」を参照してください。拡張スキャンは Amazon Inspector を通じて提供され、請求されます。詳細については、「Amazon Inspector の料金」を参照してください。

Amazon ECR スキャンをアクティブ化する方法については、「スキャンタイプのアクティブ化」を参照してください。検出結果を表示する方法については、Amazon Inspector の検出結果の表示」を参照してください。イメージレベルで Amazon ECR 内の検出結果を表示する方法については、「Amazon Elastic Container Registry ユーザーガイド」の「イメージスキャン」を参照してください。検出結果は、 AWS Security Hub や Amazon EventBridge などの基本スキャンに AWS のサービス 使用できない を使用して管理できます。

Amazon Inspector の各リポジトリのスキャン設定は、カバレッジページと APIs を通じて表示できます。ただし、基本スキャンと連続スキャンの設定は Amazon ECR でのみ変更できます。Amazon Inspector はこれらの設定を可視化しますが、直接変更機能を提供しません。詳細については、「Amazon ECR ユーザーガイド」の「Amazon ECR でイメージをスキャンしてソフトウェアの脆弱性を確認する」を参照してください。

このセクションでは、Amazon ECR スキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。

Amazon ECR スキャンのスキャン動作

Amazon ECR スキャンを初めてアクティブ化すると、Amazon Inspector は過去 14 日以内にプッシュされたイメージを検出します。次にAmazon Inspector はイメージをスキャンし、スキャンステータスを に設定しますactive。連続スキャンが有効になっている場合、Amazon Inspector は 14 日以内にプッシュされたイメージ (デフォルトでは )、last-in-use日が 14 日以内 (デフォルトでは )、またはイメージが設定された再スキャン期間内にスキャンされる限り、イメージをモニタリングします。2025 年 5 月 16 日より前に作成された Amazon Inspector アカウントの場合、デフォルト設定では、過去 90 日以内にプッシュまたはプルされたイメージを再スキャンしてモニタリングできます。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。

継続的スキャンの場合、Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。

  • 新しいコンテナイメージがプッシュされる場合。

  • Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。

リポジトリをプッシュスキャン用に設定した場合、イメージはプッシュ時にのみスキャンされます。

コンテナイメージの脆弱性が最後にチェックされたのは、アカウント管理ページのコンテナイメージタブまたは ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。

  • Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。

  • Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。

実行中のコンテナへのコンテナイメージのマッピング

Amazon Inspector は、コンテナイメージを Amazon Elastic Container Service (Amazon ECS) と Amazon Elastic Kubernetes Service (Amazon EKS) 全体の実行中のコンテナにマッピングすることで、包括的なコンテナセキュリティ管理を提供します。これらのマッピングは、実行中のコンテナ上のイメージの脆弱性に関するインサイトを提供します。

注記

マネージドポリシーAWSReadOnlyAccessだけでは、Amazon ECR イメージと実行中のコンテナ間のマッピングを表示するための十分なアクセス許可がありません。コンテナイメージマッピング情報を表示するには、 AWSReadOnlyAccessAWSInspector2ReadOnlyAccessの両方の管理ポリシーが必要です。

運用リスクに基づいて修復作業に優先順位を付け、コンテナエコシステム全体のセキュリティカバレッジを維持できます。現在使用されているコンテナイメージの数と、過去 24 時間に Amazon ECS または Amazon EKS クラスターで最後に使用されたコンテナイメージを表示できます。デプロイされている Amazon ECS タスクと Amazon EKS ポッドの数を表示することもできます。この情報は、コンテナイメージの検出結果の詳細画面の Amazon Inspector コンソールと、FilterCriteriaデータ型の ecrImageInUseCountおよび ecrImageLastInUseAtフィルターで確認できます。新しいコンテナイメージまたはアカウントの場合、データが利用可能になるまでに最大 36 時間かかることがあります。その後、このデータは 24 時間に 1 回更新されます。詳細については、Amazon Inspector の検出結果の表示」およびAmazon Inspector の検出結果の詳細の表示」を参照してください。

注記

このデータは、Amazon ECR スキャンをアクティブ化し、継続的スキャン用にリポジトリを設定すると、Amazon ECR の検出結果に自動的に送信されます。継続的スキャンは、Amazon ECR リポジトリレベルで設定する必要があります。詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「拡張スキャン」を参照してください。

また、last-in-use日に基づいてクラスターからコンテナイメージを再スキャンすることもできます。

この機能は、Amazon ECS および Amazon EKS を使用する Fargate でもサポートされています。

サポートされているオペレーティングシステムとメディアタイプ

サポートされるオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。

Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。

イメージマニフェスト

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

イメージ設定

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

イメージレイヤー

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

注記

Amazon Inspector は、Amazon ECR リポジトリのスキャン用の"application/vnd.docker.distribution.manifest.list.v2+json"メディアタイプをサポートしていません。