기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon Inspector로 Amazon Elastic Container Registry 컨테이너 이미지 스캔 Amazon ECR 컨테이너 이미지 스캔 Amazon Inspector는 Amazon Elastic Container Registry에 저장된 컨테이너 이미지에 소프트웨어 취약성이 있는지 스캔하여 [패키지 취약성 조사 결과](https://docs.aws.amazon.com/)를 생성합니다. Amazon ECR 스캔을 활성화할 때 Amazon Inspector를 프라이빗 레지스트리에 대한 기본 스캔 서비스로 설정하세요. **참고** Amazon ECR은 레지스트리 정책을 사용하여 AWS 보안 주체에 권한을 부여합니다. 이 위탁자는 스캔을 위해 Amazon Inspector API를 직접적으로 호출하는 데 필요한 권한을 가집니다. 레지스트리 정책의 범위를 설정할 때 `deny`에서 `ecr:*` 작업 또는 `PutRegistryScanningConfiguration`을 추가해서는 안 됩니다. 이로 인해 Amazon ECR에 대한 스캔을 활성화 및 비활성화할 때 레지스트리 수준에서 오류가 발생합니다. 기본 스캔을 사용하면 푸시할 때 스캔하거나 수동 스캔을 수행하도록 리포지토리를 구성할 수 있습니다. 고급 스캔을 사용하면 레지스트리 수준에서 운영 체제 및 프로그래밍 언어 패키지 취약성을 스캔할 수 있습니다. 기본 스캔과 고급 스캔의 차이점을 나란히 비교하려면 [Amazon Inspector FAQ](https://aws.amazon.com/inspector/faqs/)를 참조하세요. **참고** 기본 스캔은 Amazon ECR을 통해 제공되며 요금이 청구됩니다. 자세한 내용은 [Amazon Elastic Container Registry 요금](https://aws.amazon.com/ecr/pricing/)을 참조하세요. 고급 스캔은 Amazon Inspector를 통해 제공되며 요금이 청구됩니다. 자세한 내용은 [Amazon Inspector 요금](https://aws.amazon.com/inspector/pricing/)을 참조하세요. Amazon ECR 스캔을 활성화하는 자세한 방법은 [스캔 유형 활성화](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)를 참조하세요. 조사 결과를 보는 방법에 대한 자세한 내용은 [Amazon Inspector 조사 결과 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)를 참조하세요. 이미지 수준에서 Amazon ECR 조사 결과를 보는 방법에 대한 자세한 내용은 *Amazon Elastic Container Registry 사용 설명서*에서 [이미지 스캔](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)을 참조하세요. [AWS Security Hub CSPM 및 Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html)와 같은 기본 스캔에 사용할 수 AWS 서비스 없는를 사용하여 조사 결과를 관리할 수 있습니다. 적용 범위 페이지 및 API를 통해 Amazon Inspector의 각 리포지토리에 대한 스캔 구성을 볼 수 있습니다. 그러나 기본 스캔과 연속 스캔의 구성 설정은 Amazon ECR에서만 수정할 수 있습니다. Amazon Inspector는 이러한 설정에 대한 가시성을 제공하지만 직접 수정 기능은 제공하지 않습니다. 자세한 내용은 *Amazon ECR 사용 설명서*의 [이미지 스캔에서 Amazon ECR의 소프트웨어 취약성](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)을 참조하세요. 이 단원에서는 Amazon ECR 스캔에 대한 정보를 제공하고 Amazon ECR 리포지토리에 대해 고급 스캔을 구성하는 방법에 대해 설명합니다. ## Amazon ECR 스캔의 스캔 동작 Amazon ECR 스캔을 처음 활성화하면 Amazon Inspector는 지난 14일 이내에 푸시된 이미지를 스캔합니다. 그런 다음 Amazon Inspector는 이미지를 스캔하여 스캔 상태를 `ACTIVE`로 설정합니다. Amazon Inspector는 ECR에서 활성화된 이미지만 스캔합니다(`imageStatus` 필드는 ). `ACTIVE` 보관된 상태가 ECR(`imageStatus` 필드는 `ARCHIVED`)인 이미지는 Amazon Inspector에서 스캔하지 않습니다. 연속 스캔이 활성화된 경우 Amazon Inspector는 14일(기본값) 이내에 푸시되었거나 마지막 사용 날짜가 14일(기본값) 이내이거나, 구성된 재스캔 기간 내에 이미지가 스캔되는 한 이미지를 모니터링합니다. 2025년 5월 16일 이전에 생성된 Amazon Inspector 계정의 경우, 기본 구성은 지난 90일 이내에 푸시되거나 가져온 이미지를 다시 스캔하여 모니터링하는 것입니다. 자세한 내용은 [Amazon ECR 재스캔 기간 구성](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)을 참조하세요. 연속 스캔을 위해 Amazon Inspector는 다음과 같은 경우에 컨테이너 이미지의 새로운 취약성 스캔을 시작합니다. + 새 컨테이너 이미지가 푸시될 때마다 + Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 해당 컨테이너 이미지와 관련이 있을 때마다(연속 스캔만 해당) + 컨테이너 이미지가 ECR에서 아카이브됨에서 활성으로 전환될 때마다 푸시할 때 스캔하도록 저장소를 구성하면 이미지를 푸시할 때만 이미지가 스캔됩니다. 컨테이너 이미지의 취약성을 마지막으로 검사한 시기는 **계정 관리** 페이지의 **컨테이너 이미지** 탭에서 또는 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Amazon ECR 이미지의 **마지막 스캔 시간** 필드를 업데이트합니다. + Amazon Inspector에서 컨테이너 이미지의 첫 번째 스캔을 완료한 경우 + 컨테이너 이미지에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE) 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 컨테이너 이미지를 다시 스캔하는 경우 ### 보관된 ECR 컨테이너 이미지 Amazon Inspector는 ECR에 보관된 컨테이너 이미지를 스캔하지 않습니다(`imageStatus`는 `ARCHIVED`). ECR의 활성 이미지가 아카이브로 전환되면 Amazon Inspector는 자동으로 조사 결과를 닫은 다음 3일 후에 조사 결과를 삭제합니다. 보관된 컨테이너 이미지가 ECR에서 활성으로 전환되면 Amazon Inspector가 새 스캔을 트리거합니다. ## 실행 중인 컨테이너에 컨테이너 이미지 매핑 Amazon Inspector는 Amazon Elastic Container Service(Amazon ECS) 및 Amazon Elastic Kubernetes Service(Amazon EKS)에서 실행 중인 컨테이너에 컨테이너 이미지를 매핑하여 포괄적인 컨테이너 보안 관리를 제공합니다. 이러한 매핑은 실행 중인 컨테이너의 이미지 취약성에 대한 인사이트를 제공합니다. **참고** 관리형 정책 `AWSReadOnlyAccess`만으로는 Amazon ECR 이미지와 실행 중인 컨테이너 간의 매핑을 볼 수 있는 충분한 권한을 제공하지 않습니다. 컨테이너 이미지 매핑 정보를 보려면 `AWSReadOnlyAccess` 및 `AWSInspector2ReadOnlyAccess` 관리형 정책이 모두 필요합니다. 운영 위험을 기반으로 문제 해결 작업의 우선순위를 정하고 전체 컨테이너 에코시스템에서 보안 범위를 유지할 수 있습니다. 현재 사용 중인 컨테이너 이미지 수와 지난 24시간 동안 Amazon ECS 또는 Amazon EKS 클러스터에서 마지막으로 사용된 컨테이너 이미지를 볼 수 있습니다. 배포된 Amazon ECS 작업 및 Amazon EKS 포드 수를 볼 수도 있습니다. 이 정보는 컨테이너 이미지 조사 결과에 대한 세부 정보 화면의 Amazon Inspector 콘솔과 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) 데이터 유형에 대한 `ecrImageInUseCount` 및 `ecrImageLastInUseAt` 필터에서 찾을 수 있습니다. 새 컨테이너 이미지 또는 계정의 경우 데이터를 사용할 수 있는 데 최대 36시간이 걸릴 수 있습니다. 그런 다음이 데이터는 24시간마다 한 번씩 업데이트됩니다. 자세한 내용은 [Amazon Inspector 조사 결과 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) 및 [Amazon Inspector 조사 결과에 대한 세부 정보 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html)를 참조하세요. **참고** 이 데이터는 Amazon ECR 스캔을 활성화하고 연속 스캔을 위해 리포지토리를 구성할 때 Amazon ECR 조사 결과로 자동으로 전송됩니다. 연속 스캔은 Amazon ECR 리포지토리 수준에서 구성해야 합니다. 자세한 내용은 *Amazon Elastic Container Registry 사용 설명서*의 [고급 스캔](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)을 참조하세요. 마지막 사용 날짜를 기준으로 클러스터에서 [컨테이너 이미지를 다시 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)할 수도 있습니다. 이 특성은 Amazon ECS 및 Amazon EKS를 사용하는 Fargate에서도 지원됩니다. ## 지원되는 운영 체제 및 미디어 유형 지원되는 운영 체제에 대한 자세한 내용은 [지원되는 운영 체제: Amazon Inspector를 사용한 Amazon ECR 스캔](supported.md#supported-os-ecr) 섹션을 참조하세요. Amazon Inspector의 Amazon ECR 리포지토리 스캔에서 지원되는 미디어 유형은 다음과 같습니다. **이미지 매니페스트** + `"application/vnd.oci.image.manifest.v1+json"` + `"application/vnd.docker.distribution.manifest.v2+json"` **이미지 구성** + `"application/vnd.docker.container.image.v1+json"` + `"application/vnd.oci.image.config.v1+json"` **이미지 계층** + `"application/vnd.docker.image.rootfs.diff.tar"` + `"application/vnd.docker.image.rootfs.diff.tar.gzip"` + `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` + `"application/vnd.oci.image.layer.v1.tar"` + `"application/vnd.oci.image.layer.v1.tar+gzip"` + `"application/vnd.oci.image.layer.v1.tar+zstd"` + `"application/vnd.oci.image.layer.nondistributable.v1.tar"` + `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` **참고** Amazon Inspector는 Amazon ECR 리포지토리 스캔을 위한 `"application/vnd.docker.distribution.manifest.list.v2+json"` 미디어 유형을 지원하지 않습니다. # Amazon ECR 재스캔 기간 구성 Amazon ECR 재스캔 기간 설정에 따라 Amazon Inspector에서 리포지토리의 컨테이너 이미지를 지속적으로 모니터링하는 기간이 결정됩니다. 이미지 마지막 사용 날짜, 이미지 가져오기 날짜 및 푸시 날짜에 대한 재스캔 기간을 구성하세요. 가장 좋은 방법은 사용자 환경에 가장 적합하도록 재검색 기간을 구성하는 것입니다. 예를 들어 이미지를 자주 빌드하는 경우 더 짧은 스캔 기간을 선택합니다. 장기간에 걸쳐 사용하는 이미지의 경우 더 긴 스캔 기간을 선택합니다. 조직에 추가된 새 계정을 포함하여 새 계정의 기본 스캔 기간은 14일입니다. Amazon Inspector는 클러스터에서 마지막으로 사용 중이거나 14일 이내에 푸시된(기본적으로) 이미지를 계속 모니터링하고 다시 스캔합니다. 구성된 푸시 및 마지막 사용 날짜 내에 이미지가 푸시되지 않았거나 실행 중인 컨테이너에서 마지막으로 사용되지 않은 경우 Amazon Inspector는 이미지 모니터링을 중지합니다. 필요한 경우 마지막 사용 날짜 대신 마지막 가져오기 날짜별로 이미지를 모니터링하도록 설정을 변경하는 옵션이 있습니다. Amazon Inspector에서 이미지 모니터링을 중지하면 이미지 스캔 상태 코드가 비활성으로 설정되고 사유 코드는 만료로 설정됩니다. 그런 다음 Amazon Inspector는 관련된 모든 이미지 조사 결과를 종료하도록 예약합니다. 푸시 날짜 기간을 늘리면 Amazon Inspector는 지속적인 스캔을 수행하도록 구성된 리포지토리의 모든 활성 스캔 이미지에 변경 사항을 적용합니다. 그러나 비활성 이미지는 새 기간 내에 푸시했더라도 비활성 상태로 유지됩니다. 위임된 관리자 계정에서 스캔 기간을 구성하면 Amazon Inspector는 조직의 모든 멤버 계정에 해당 설정을 적용합니다. 위임된 관리자 계정이 Amazon ECR 스캔을 활성화하지 않으면 API 이미지에 대한 클러스터를 볼 수 없습니다. 다중 아키텍처 이미지의 경우 마지막 사용 날짜 추적은 지원되지 않습니다. 다중 아키텍처 이미지를 사용하는 경우 적절한 재스캔 동작을 보장하기 위해 마지막 사용 날짜 대신 이미지 가져오기 또는 푸시 이벤트를 기반으로 스캔을 구성하는 것이 좋습니다. **참고** 2025년 5월 16일 이전에 구성된 모든 재스캔 기간 설정은 변경되지 않습니다. 이전에 구성한 기본 설정을 계속 사용할 수 있습니다. **이미지 재스캔 기간** 이미지 재스캔 기간은 Amazon Inspector가 이미지를 모니터링하는 기간을 결정합니다. 이미지 재스캔 지속 시간에는 **마지막 사용 날짜**(기본값) 또는 **마지막 가져오기 날짜**의 두 가지 모드가 포함됩니다. Amazon ECS/Amazon EKS 클러스터 활동의 **마지막 사용 날짜**를 사용하려면 마지막 사용 날짜(기본값)를 선택합니다. Amazon ECR 이미지의 마지막 가져오기 날짜를 사용하여 이미지를 다시 스캔하려면 **마지막 가져오기 날짜**를 선택합니다. 다음 옵션을 재스캔 기간으로 사용할 수 있습니다. + 14일(기본값) + 30일 + 60일 + 90일 + 180일 **이미지 푸시 날짜 기간** 이미지 푸시 날짜 기간은 이미지가 리포지토리로 푸시된 후 Amazon Inspector에서 이미지를 지속적으로 모니터링하는 기간을 결정합니다. 다음 옵션을 재스캔 기간으로 사용할 수 있습니다. + 14일(기본값) + 30일 + 60일 + 90일 + 180일 + 수명 **Amazon ECR 재스캔 기간을 구성하려면** 1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다. 1. Amazon ECR 재스캔 기간을 구성할 AWS 리전 를 선택합니다. 1. 탐색 창에서 **일반 설정**을 선택한 다음 **ECR 스캔 설정**을 선택합니다. 1. **ECR 재스캔 기간**에서 이미지 재스캔 모드를 선택한 다음 해당 기간을 선택합니다. 1. **이미지 푸시 날짜**에서 이미지 푸시 날짜를 선택합니다. 1. **저장**을 선택합니다. ## ECR 컨테이너 이미지 상태 이해 Inspector는 ECR 컨테이너 `ACTIVE` 이미지의 이미지만 스캔합니다. `ARCHIVED` 상태의 ECR 컨테이너 이미지는 스캔되지 않습니다. 스캔 동작에 대한 자세한 내용은 섹션을 참조하세요[Amazon ECR 스캔의 스캔 동작](scanning-ecr.md#ecr-scan-behavior). ECR의 ECR 컨테이너 이미지 상태가 로 전환되면 `ACTIVE`Inspector는 `lastActivatedAt` 필드를 사용하여 재스캔 기간을 모니터링합니다.