Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector - Amazon Inspector
Comportamentos de verificação para o escaneamento do Amazon ECRMapear imagens de contêiner para contêineres em execuçãoSistemas operacionais e tipos de mídia com suporte

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector

O Amazon Inspector verifica as imagens de contêiner armazenadas no Amazon Elastic Container Registry em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidades em pacotes. Ao ativar as verificações do Amazon ECR, você define o Amazon Inspector como seu serviço de verificação de preferência para seu registro privado.

nota

O Amazon ECR usa uma política de registro para conceder permissões a um AWS diretor. Esse diretor tem as permissões necessárias para chamar o Amazon Inspector APIs para digitalização. Ao definir o escopo da política de registro, você não deve adicionar a ação ecr:* ou PutRegistryScanningConfiguration em deny. Isso resulta em erros no nível do registro ao ativar e desativar a verificação para o Amazon ECR.

Com a verificação básica, você pode configurar seus repositórios para verificação durante o envio ou executar verificações manuais. Com a verificação avançada, você pode executar a verificação em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação no nível do registro. Para uma side-by-side comparação das diferenças entre o escaneamento básico e o aprimorado, consulte as perguntas frequentes do Amazon Inspector.

nota

A verificação básica é fornecida e cobrada pelo Amazon ECR. Para ter mais informações, consulte Preços do Amazon Elastic Container Registry. A verificação avançada é fornecida e cobrada pelo Amazon Inspector. Para obter mais informações, consulte a Definição de preço do Amazon Inspector.

Consulte informações sobre como ativar a verificação do Amazon ECR em Ativar um tipo de verificação. Consulte informações sobre como visualizar descobertas em Visualizar descobertas do Amazon Inspector. Consulte informações sobre como visualizar as descobertas no Amazon ECR no nível da imagem em Verificação de imagens no Guia do usuário do Amazon Elastic Container Registry. Você pode gerenciar descobertas usando o recurso Serviços da AWS não disponível para escaneamento básico, como AWS Security Hub CSPM a Amazon EventBridge.

Você pode visualizar a configuração de escaneamento para cada repositório no Amazon Inspector por meio das páginas de cobertura e. APIs No entanto, as configurações da verificação básica em relação à verificação contínua só podem ser modificadas no Amazon ECR. O Amazon Inspector fornece visibilidade dessas configurações, mas não oferece recursos de modificação direta. Consulte mais informações em Verificar imagens em busca de vulnerabilidades de software no Amazon ECR no Guia do usuário do Amazon ECR.

Esta seção fornece informações sobre a verificação do Amazon ECR e descreve como configurar a verificação avançada para repositórios do Amazon ECR.

Comportamentos de verificação para o escaneamento do Amazon ECR

Ao ativar a verificação do Amazon ECR pela primeira vez, o Amazon Inspector detecta imagens enviadas nos últimos 14 dias. Depois, o Amazon Inspector verifica as imagens e define os status de verificação como ACTIVE. O Amazon Inspector só digitalizará imagens ativas no ECR (o imageStatus campo é). ACTIVE Imagens com status Arquivado no ECR (imageStatuscampo éARCHIVED) não são digitalizadas pelo Amazon Inspector.

Se a digitalização contínua estiver ativada, o Amazon Inspector monitora as imagens desde que elas tenham sido enviadas em 14 dias (por padrão), a last-in-use data esteja dentro de 14 dias (por padrão) ou as imagens sejam digitalizadas dentro da duração de nova digitalização configurada. Para contas do Amazon Inspector criadas antes de 16 de maio de 2025, a configuração padrão é verificar novamente para monitorar imagens que tenham sido enviadas ou extraídas nos últimos 90 dias. Para ter mais informações, consulte Configuring the Amazon ECR re-scan duration.

Para verificação contínua, o Amazon Inspector inicia novas verificações de vulnerabilidade de imagens de contêiner nas seguintes situações:

  • Sempre que uma nova imagem de contêiner é enviada.

  • Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para a imagem do contêiner (somente verificação contínua).

  • Sempre que uma imagem de contêiner é transferida de arquivada para ativa no ECR.

Se você configurar seu repositório para verificação no envio, as imagens serão verificadas somente quando você as enviar.

Você pode verificar quando uma imagem de contêiner foi verificada pela última vez em busca de vulnerabilidades na guia Imagens de contêiner da página de Gerenciamento de contas ou usando a API ListCoverage. O Amazon Inspector atualiza o campo Última verificação em de uma imagem do Amazon ECR em resposta aos seguintes eventos:

  • Quando o Amazon Inspector conclui uma verificação inicial de uma imagem de contêiner.

  • Quando o Amazon Inspector verifica novamente uma imagem de contêiner porque um novo item de CVEs (vulnerabilidades e exposições comuns) que afeta essa imagem de contêiner foi adicionado ao banco de dados do Amazon Inspector.

Imagens arquivadas de contêiner ECR

O Amazon Inspector não digitaliza imagens de contêineres arquivadas no ECR (is). imageStatus ARCHIVED Quando uma imagem ativa no ECR é transferida para arquivada, o Amazon Inspector fecha automaticamente as descobertas e as exclui após 3 dias. Se uma imagem de contêiner arquivada for transferida para ativa no ECR, o Amazon Inspector acionará uma nova digitalização.

Mapear imagens de contêiner para contêineres em execução

O Amazon Inspector fornece um gerenciamento de segurança abrangente ao mapear imagens de contêineres para contêineres em execução no Amazon Elastic Container Service (Amazon ECS) e Amazon Elastic Kubernetes Service (Amazon EKS). Esses mapeamentos fornecem informações sobre vulnerabilidades de imagens em contêineres em execução.

nota

A política gerenciada AWSReadOnlyAccess por si só não fornece permissões suficientes para visualizar o mapeamento entre as imagens do Amazon ECR e os contêineres em execução. Você precisa das políticas gerenciadas AWSReadOnlyAccess e AWSInspector2ReadOnlyAccess para visualizar as informações de mapeamento de imagens do contêiner.

Você pode priorizar os esforços de correção com base nos riscos operacionais e manter a cobertura de segurança em todo o ecossistema de contêineres. É possível ver quantas imagens de contêiner estão em uso no momento e quais imagens de contêiner foram usadas pela última vez em um cluster do Amazon ECS ou do Amazon EKS nas últimas 24 horas. Você também pode visualizar quantas tarefas do Amazon ECS e pods do Amazon EKS estão implantados. Essas informações podem ser encontradas no console do Amazon Inspector na tela de detalhes das descobertas de imagens de contêineres e com os filtros ecrImageInUseCount e ecrImageLastInUseAt para o tipo de dados FilterCriteria. Para contas ou imagens de contêineres novas, pode levar até 36 horas para os dados estarem disponíveis. Depois, esses dados são atualizados uma vez a cada 24 horas. Consulte mais informações em Visualizar as descobertas do Amazon Inspector e Visualizar detalhes das descobertas do Amazon Inspector.

nota

Esses dados são enviados automaticamente para as descobertas do Amazon ECR quando você ativa a verificação do Amazon ECR e configura seu repositório para verificação contínua. A verificação contínua deve ser configurada no nível do repositório do Amazon ECR. Consulte mais informações em Verificação avançada no Guia do usuário do Amazon Elastic Container Registry.

Você também pode digitalizar novamente imagens de contêineres de clusters com base em suas last-in-use datas.

Esse recurso também é compatível com o Fargate com o Amazon ECS e o Amazon EKS.

Sistemas operacionais e tipos de mídia com suporte

Para obter informações sobre os sistemas operacionais com suporte, consulte Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector.

As verificações do Amazon Inspector dos repositórios do Amazon ECR abrangem os seguintes tipos de mídia com suporte:

Manifesto da imagem

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

Configuração da imagem

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

Camadas da imagem

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

nota

O Amazon Inspector não é compatível com o tipo de mídia "application/vnd.docker.distribution.manifest.list.v2+json" para a verificação dos repositórios do Amazon ECR.