Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector - Amazon Inspector
Comportamentos de verificação para o escaneamento do Amazon ECRMapeamento de imagens de contêiner para contêineres em execuçãoSistemas operacionais e tipos de mídia com suporte

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector

O Amazon Inspector verifica as imagens de contêiner armazenadas no Amazon Elastic Container Registry em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidades em pacotes. Ao ativar as verificações do Amazon ECR, você define o Amazon Inspector como seu serviço de verificação de preferência para seu registro privado.

nota

O Amazon ECR usa uma política de registro para conceder permissões a um AWS diretor. Esse diretor tem as permissões necessárias para chamar o Amazon Inspector APIs para digitalização. Ao definir o escopo da sua política de registro, você não deve adicionar a ecr:* ação nem PutRegistryScanningConfiguration entrardeny. Isso resulta em erros no nível do registro ao ativar e desativar o escaneamento para o Amazon ECR.

Com a verificação básica, você pode configurar seus repositórios para verificação durante o envio ou executar verificações manuais. Com a verificação avançada, você pode executar a verificação em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação no nível do registro. Para uma side-by-side comparação das diferenças entre o escaneamento básico e o aprimorado, consulte as perguntas frequentes do Amazon Inspector.

nota

A verificação básica é fornecida e cobrada pelo Amazon ECR. Para ter mais informações, consulte Preços do Amazon Elastic Container Registry. A verificação avançada é fornecida e cobrada pelo Amazon Inspector. Para obter mais informações, consulte a Definição de preço do Amazon Inspector.

Para ter informações sobre como ativar a verificação do Amazon ECR, consulte Ativar um tipo de verificação. Para ter informações sobre como visualizar as descobertas, consulte Gerenciar descobertas no Amazon Inspector. Para ter informações sobre como visualizar as descobertas no nível da imagem, consulte Image scanning no Guia do usuário do Amazon Elastic Container Registry. Você também pode gerenciar descobertas que Serviços da AWS não estejam disponíveis para escaneamento básico, como AWS Security Hub na Amazon EventBridge.

Esta seção fornece informações sobre a verificação do Amazon ECR e descreve como configurar a verificação avançada para repositórios do Amazon ECR.

Comportamentos de verificação para o escaneamento do Amazon ECR

Quando você ativa o escaneamento do Amazon ECR pela primeira vez, o Amazon Inspector detecta imagens enviadas nos últimos 14 dias. Em seguida, o Amazon Inspector digitaliza as imagens e define os status da digitalização como. active Se a digitalização contínua estiver ativada, o Amazon Inspector monitora as imagens desde que elas tenham sido enviadas em 14 dias (por padrão), a last-in-use data esteja dentro de 14 dias (por padrão) ou as imagens sejam digitalizadas dentro da duração de nova digitalização configurada. Para contas do Amazon Inspector que foram criadas antes de 16 de maio de 2025, a configuração padrão é digitalizar novamente para monitorar imagens se elas foram enviadas ou retiradas nos últimos 90 dias. Para ter mais informações, consulte Configuring the Amazon ECR re-scan duration.

Para verificação contínua, o Amazon Inspector inicia novas verificações de vulnerabilidade de imagens de contêiner nas seguintes situações:

  • Sempre que uma nova imagem de contêiner é enviada.

  • Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para a imagem do contêiner (somente verificação contínua).

Se você configurar seu repositório para verificação no envio, as imagens serão verificadas somente quando você as enviar.

Na guia Imagens de contêiner na página de Gerenciamento de contas ou usando a API ListCoverage, você pode verificar quando uma imagem de contêiner foi verificada pela última vez em busca de vulnerabilidades. O Amazon Inspector atualiza o campo Última verificação em de uma imagem do Amazon ECR em resposta aos seguintes eventos:

  • Quando o Amazon Inspector conclui uma verificação inicial de uma imagem de contêiner.

  • Quando o Amazon Inspector verifica novamente uma imagem de contêiner porque um novo item de CVEs (vulnerabilidades e exposições comuns) que afeta essa imagem de contêiner foi adicionado ao banco de dados do Amazon Inspector.

Mapeamento de imagens de contêiner para contêineres em execução

O Amazon Inspector fornece gerenciamento abrangente de segurança de contêineres mapeando imagens de contêineres para contêineres em execução no Amazon Elastic Container Service (Amazon ECS) e no Amazon Elastic Kubernetes Service (Amazon EKS). Esses mapeamentos fornecem informações sobre vulnerabilidades de imagens em contêineres em execução.

nota

A política gerenciada AWSReadOnlyAccess sozinha não fornece permissões suficientes para visualizar o mapeamento entre imagens do Amazon ECR e contêineres em execução. Você precisa das políticas AWSInspector2ReadOnlyAccess gerenciadas AWSReadOnlyAccess e das políticas para visualizar as informações de mapeamento da imagem do contêiner.

Com esse recurso, você pode priorizar os esforços de remediação com base nos riscos operacionais e manter a cobertura de segurança em todo o ecossistema de contêineres. Você pode monitorar imagens de contêiner atualmente em uso e quando as imagens de contêiner foram usadas pela última vez em um cluster Amazon ECS ou Amazon EKS nas últimas 24 horas. Para novas imagens ou contas, pode levar até 36 horas para que os dados estejam disponíveis. Posteriormente, esses dados são atualizados uma vez a cada 24 horas. Essas informações estarão disponíveis em suas descobertas por meio do console do Amazon Inspector na tela de detalhes de suas descobertas de imagem de contêiner e com a API do Amazon Inspector por meio ecrImageInUseCount dos filtros e. ecrImageLastInUseAt

nota

Esses dados são enviados automaticamente para as descobertas do Amazon ECR quando você ativa o escaneamento do Amazon ECR e configura seu repositório para escaneamento contínuo. A digitalização contínua deve ser configurada no nível do repositório Amazon ECR. Para obter mais informações, consulte Escaneamento aprimorado no Guia do usuário do Amazon Elastic Container Registry.

Você também pode digitalizar novamente imagens de contêineres de clusters com base em suas last-in-use datas.

Esse recurso também é compatível com o Amazon ECS Amazon EKS Fargate.

Sistemas operacionais e tipos de mídia com suporte

Para obter informações sobre os sistemas operacionais com suporte, consulte Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector.

As verificações do Amazon Inspector dos repositórios do Amazon ECR abrangem os seguintes tipos de mídia com suporte:

Manifesto de

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configuração de imagem

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Camadas de imagem

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

nota

O Amazon Inspector não suporta o tipo de "application/vnd.docker.distribution.manifest.list.v2+json" mídia para a digitalização dos repositórios do Amazon ECR.