As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Verificar imagens em busca de vulnerabilidades dos pacotes de sistemas operacionais e de linguagens de programação no Amazon ECR
A verificação avançada do Amazon ECR é uma integração com o Amazon Inspector que permite a verificação de vulnerabilidades para suas imagens de contêiner. Suas imagens de contêiner são verificadas quanto a vulnerabilidades em sistemas operacionais e pacotes de linguagem de programação. Você pode ver as descobertas da verificação com o Amazon ECR e com o Amazon Inspector diretamente. Para obter mais informações sobre o Amazon Inspector, consulte Verificação de imagens de contêiner com o Amazon Inspector no Guia do usuário do Amazon Inspector.
Com a verificação avançada, você pode escolher quais repositórios são configurados para verificação automática e contínua e quais são configurados para verificação ao enviar. Isso é feito com a configuração de filtros de verificação.
Considerações sobre a verificação avançada
Os aspectos a seguir devem ser considerados antes de habilitar a verificação avançada do Amazon ECR.
-
Não há custo adicional do Amazon ECR para usar esse recurso, no entanto, há um custo do Amazon Inspector para a digitalização das suas imagens. Esse recurso está disponível em regiões onde o Amazon Inspector é suportado. Para obter mais informações, consulte:
-
Preços do Amazon Inspector — Preços do Amazon Inspector
. -
Regiões suportadas pelo Amazon Inspector — regiões e endpoints.
-
-
A digitalização aprimorada do Amazon ECR mostra como as imagens são usadas no Amazon EKS e no Amazon ECS. Você pode ver quando as imagens foram usadas pela última vez e identificar quantos clusters usam cada imagem. Essas informações ajudam você a priorizar a correção de vulnerabilidades para imagens usadas ativamente. Você pode determinar rapidamente quais clusters podem ser afetados por vulnerabilidades recém-descobertas. Para obter mais informações sobre como solicitar essas informações e visualizar a resposta, consulte
DescribeImageScanFindings
. -
O Amazon Inspector oferece suporte à verificação para sistemas operacionais específicos. Para obter uma lista completa, consulte Sistemas operacionais compatíveis: verificação do Amazon ECR no Guia do usuário do Amazon Inspector.
-
O Amazon Inspector usa uma função do IAM vinculada ao serviço que fornece as permissões necessárias para disponibilizar a verificação avançada para seus repositórios. O perfil do IAM vinculado ao serviço é criado automaticamente pelo Amazon Inspector quando a verificação avançada é ativada para seu registro privado. Para obter mais informações, consulte Usar funções vinculadas ao serviço do Amazon Inspector no Guia do usuário do Amazon Inspector.
-
Quando você ativa inicialmente a digitalização aprimorada para seu registro privado, o Amazon Inspector reconhece apenas as imagens enviadas para o Amazon ECR nos últimos 14 dias, com base na data e hora do envio da imagem. Imagens mais antigas terão o status de verificação
SCAN_ELIGIBILITY_EXPIRED
. Se desejar que essas imagens sejam verificadas pelo Amazon Inspector, você deverá enviá-las novamente para o seu repositório. -
Quando a verificação avançada está ativada no registro privado do Amazon ECR, todos os repositórios que correspondem aos filtros de verificação são verificados usando somente a verificação avançada. Todos os repositórios que não corresponderem a um filtro terão uma frequência de digitalização
Off
, mas não serão verificados. Não há suporte a digitalizações manuais com a digitalização avançada. Para obter mais informações, consulte Filtros para escolher quais repositórios são verificados no Amazon ECR. -
Se você especificar filtros separados para digitalização em push e digitalização contínua, onde vários filtros correspondem ao mesmo repositório, o Amazon ECR impõe o filtro de digitalização contínua em vez da digitalização no filtro push para esse repositório.
-
Quando a verificação aprimorada é ativada, o Amazon ECR envia um evento para EventBridge quando a frequência de varredura de um repositório é alterada. O Amazon Inspector emite eventos para EventBridge quando uma varredura inicial é concluída e quando uma descoberta de digitalização de imagem é criada, atualizada ou fechada.
Alterar a duração da verificação avançada de imagens no Amazon Inspector
Depois de ativar a digitalização aprimorada, o Amazon ECR digitaliza continuamente imagens recém-enviadas durante a duração configurada. Por padrão, o Amazon Inspector monitora seus repositórios até que as imagens sejam excluídas ou a digitalização aprimorada seja desativada. Você pode configurar a duração da data de envio (até a vida útil) e a duração da nova digitalização no console do Amazon Inspector para atender às necessidades do seu ambiente. Quando a duração do escaneamento de um repositório termina, o status do escaneamento é exibido como. SCAN_ELIGIBILITY_EXPIRED
Para obter mais informações sobre como definir as configurações de duração da nova verificação para o Amazon ECR no Amazon Inspector, consulte Configurar a duração da nova verificação do Amazon ECR no Guia do usuário do Amazon Inspector.