이미지에서 Amazon ECR의 OS 및 프로그래밍 언어 패키지 취약성 스캔

Amazon ECR에서 이 기능을 사용하는 데 드는 추가 비용은 없지만 이미지를 스캔하려면 Amazon Inspector에서 비용을 지불해야 합니다. 이 기능은 Amazon Inspector가 지원되는 리전에서 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.

Amazon ECR 고급 스캔은 Amazon EKS 및 Amazon ECS에서 이미지가 사용되는 방법을 보여줍니다. 이미지가 마지막으로 사용된 시기를 확인하고 각 이미지를 사용하는 클러스터 수를 식별할 수 있습니다. 이 정보는 활발하게 사용되는 이미지에 대한 취약성 문제 해결의 우선순위를 지정하는 데 도움이 됩니다. 새로 발견된 취약성의 영향을 받을 수 있는 클러스터를 빠르게 확인할 수 있습니다. 이러한 정보를 요청하고 응답을 보는 방법에 대한 자세한 내용은 섹션을 참조하세요DescribeImageScanFindings.

Amazon Inspector는 특정 운영 체제에 대한 스캔을 지원합니다. 전체 목록은 Amazon Inspector 사용 설명서의 지원되는 운영 체제 - Amazon ECR 스캔을 참조하세요.

Amazon Inspector는 리포지토리에 대한 고급 스캔 기능을 제공하는 데 필요한 권한을 지원하는 서비스 연결 IAM 역할을 사용합니다. 프라이빗 레지스트리에 대해 고급 스캔을 켜면 Amazon Inspector에서 서비스 연결 IAM 역할이 자동으로 생성됩니다. 자세한 내용은 Amazon Inspector 사용 설명서의 Amazon Inspector에 대한 서비스 연결 역할 사용을 참조하세요.

프라이빗 레지스트리에 대한 고급 스캔을 처음 켜면 Amazon Inspector는 이미지 푸시 타임스탬프를 기반으로 지난 14일 동안 Amazon ECR로 푸시된 이미지만 인식합니다. 이전 이미지에는 SCAN_ELIGIBILITY_EXPIRED 스캔 상태가 포함됩니다. Amazon Inspector에서 이러한 이미지를 스캔하려는 경우에는 이미지를 해당 리포지토리로 다시 푸시해야 합니다.

Amazon ECR 프라이빗 레지스트리에 대해 고급 검색이 켜져 있으면 검색 필터와 일치하는 리포지토리가 고급 검색만 사용하여 스캔됩니다. 필터와 일치하지 않는 리포지토리에는 Off 스캔 빈도가 설정되며 스캔되지 않습니다. 고급 스캔을 사용한 수동 스캔은 지원되지 않습니다. 자세한 정보는 Amazon ECR에서 스캔할 리포지토리를 선택하는 필터을 참조하세요.

여러 필터가 동일한 리포지토리와 일치하는 푸시 및 연속 스캔 시 스캔을 위한 별도의 필터를 지정하는 경우, Amazon ECR은 해당 리포지토리의 푸시 필터 스캔에 연속 스캔 필터를 적용합니다.

고급 스캔을 켜면 Amazon ECR은 리포지토리의 스캔 빈도가 변경될 때 이벤트를 EventBridge로 전송합니다. Amazon Inspector는 초기 스캔이 완료되고 이미지 스캔 결과가 생성, 업데이트 또는 종료될 때 이벤트를 EventBridge로 전송합니다.