As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector
<a name="scanning-ecr"></a>

 O Amazon Inspector verifica as imagens de contêiner armazenadas no Amazon Elastic Container Registry em busca de vulnerabilidades de software para gerar [descobertas de vulnerabilidades em pacotes](https://docs.aws.amazon.com/). Ao ativar as verificações do Amazon ECR, você define o Amazon Inspector como seu serviço de verificação de preferência para seu registro privado. 

**nota**  
 O Amazon ECR usa uma política de registro para conceder permissões a um AWS diretor. Esse diretor tem as permissões necessárias para chamar o Amazon Inspector APIs para digitalização. Não adicione a ação `ecr:*` ou `PutRegistryScanningConfiguration` em `deny` ao definir o escopo da política de registro. Essa ação resulta em erros no nível do registro ao ativar e desativar a verificação para o Amazon ECR. 

 Com a verificação básica, você pode configurar seus repositórios para verificação durante o envio ou executar verificações manuais. Com a verificação avançada, você pode executar a verificação em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação no nível do registro. Para uma side-by-side comparação das diferenças entre o escaneamento básico e o aprimorado, consulte as perguntas frequentes do [Amazon Inspector](https://aws.amazon.com/inspector/faqs/). 

**nota**  
 A verificação básica é fornecida e cobrada pelo Amazon ECR. Para ter mais informações, consulte [Preços do Amazon Elastic Container Registry](https://aws.amazon.com/ecr/pricing/). A verificação avançada é fornecida e cobrada pelo Amazon Inspector. Para obter mais informações, consulte a [Definição de preço do Amazon Inspector](https://aws.amazon.com/inspector/pricing/). 

 Consulte informações sobre como ativar a verificação do Amazon ECR em [Ativar um tipo de verificação](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Para saber mais sobre como visualizar descobertas, consulte [Visualizar descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html). Consulte informações sobre como visualizar as descobertas no Amazon ECR no nível da imagem em [Verificação de imagens](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon Elastic Container Registry*. Você pode gerenciar descobertas usando o recurso Serviços da AWS não disponível para escaneamento básico, como [AWS Security Hub CSPM a Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html). 

 Você pode visualizar a configuração de escaneamento para cada repositório no Amazon Inspector por meio das páginas de cobertura e. APIs No entanto, as configurações da verificação básica em relação à verificação contínua podem ser modificadas somente no Amazon ECR. O Amazon Inspector fornece visibilidade dessas configurações, mas não oferece recursos de modificação direta. Para saber mais, consulte [Verificar imagens em busca de vulnerabilidades de software no Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon ECR*. 

 Esta seção fornece informações sobre a verificação do Amazon ECR e descreve como configurar a verificação avançada para repositórios do Amazon ECR. 

## Comportamentos de verificação para o escaneamento do Amazon ECR
<a name="ecr-scan-behavior"></a>

 Ao ativar a verificação do Amazon ECR pela primeira vez, o Amazon Inspector detecta imagens enviadas nos últimos 14 dias. Depois, o Amazon Inspector verifica as imagens e define os status de verificação como `ACTIVE`. O Amazon Inspector só digitalizará imagens ativas no ECR (o `imageStatus` campo é). `ACTIVE` Imagens com status Arquivado no ECR (`imageStatus`campo é`ARCHIVED`) não são digitalizadas pelo Amazon Inspector. 

 Se a digitalização contínua estiver ativada, o Amazon Inspector monitora as imagens desde que elas tenham sido enviadas em 14 dias (por padrão), a last-in-use data esteja dentro de 14 dias (por padrão) ou as imagens sejam digitalizadas dentro da duração de nova digitalização configurada. Em relação a contas do Amazon Inspector criadas antes de 16 de maio de 2025, a configuração padrão é verificar novamente para monitorar imagens que tenham sido enviadas ou extraídas nos últimos 90 dias. Para ter mais informações, consulte [Configuring the Amazon ECR re-scan duration](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html). 

Para verificação contínua, o Amazon Inspector inicia novas verificações de vulnerabilidade de imagens de contêiner nas seguintes situações:
+ Sempre que uma nova imagem de contêiner é enviada.
+ Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para a imagem do contêiner (somente verificação contínua).
+ Sempre que uma imagem de contêiner é transferida de arquivada para ativa no ECR.

Se você configurar seu repositório para verificação no envio, as imagens serão verificadas somente quando você as enviar.

Você pode verificar quando uma imagem de contêiner foi verificada pela última vez em busca de vulnerabilidades na guia **Imagens de contêiner** da página de **Gerenciamento de contas** ou usando a API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html). O Amazon Inspector atualiza o campo **Última verificação em** de uma imagem do Amazon ECR em resposta aos seguintes eventos: 
+ Quando o Amazon Inspector conclui uma verificação inicial de uma imagem de contêiner.
+ Quando o Amazon Inspector verifica novamente uma imagem de contêiner porque um novo item de CVEs (vulnerabilidades e exposições comuns) que afeta essa imagem de contêiner foi adicionado ao banco de dados do Amazon Inspector.

### Imagens arquivadas de contêiner ECR
<a name="archived-ecr-images"></a>

 O Amazon Inspector não digitaliza imagens de contêineres arquivadas no ECR (is). `imageStatus` `ARCHIVED` Quando uma imagem ativa no ECR é transferida para arquivada, o Amazon Inspector fecha automaticamente as descobertas e as exclui após 3 dias. Se uma imagem de contêiner arquivada for transferida para ativa no ECR, o Amazon Inspector acionará uma nova digitalização. 

## Mapear imagens de contêiner para contêineres em execução
<a name="ecr-mapping-container-images"></a>

 O Amazon Inspector disponibiliza um gerenciamento de segurança abrangente ao mapear imagens de contêineres para contêineres em execução no Amazon Elastic Container Service (Amazon ECS) e Amazon Elastic Kubernetes Service (Amazon EKS). Esses mapeamentos trazem informações sobre vulnerabilidades de imagens em contêineres em execução. 

**nota**  
 A política gerenciada `AWSReadOnlyAccess` por si só não fornece permissões suficientes para visualizar o mapeamento entre as imagens do Amazon ECR e os contêineres em execução. Você precisa das políticas gerenciadas `AWSReadOnlyAccess` e `AWSInspector2ReadOnlyAccess` para visualizar as informações de mapeamento de imagens do contêiner. 

 Você pode priorizar os esforços de correção com base nos riscos operacionais e manter a cobertura de segurança em todo o ecossistema de contêineres. É possível ver quantas imagens de contêiner estão em uso no momento e quais imagens de contêiner foram usadas pela última vez em um cluster do Amazon ECS ou do Amazon EKS nas últimas 24 horas. Você também pode visualizar quantas tarefas do Amazon ECS e pods do Amazon EKS estão implantados. É possível consultar essas informações no console do Amazon Inspector na tela de detalhes das descobertas de imagens de contêineres e com os filtros `ecrImageInUseCount` e `ecrImageLastInUseAt` para o tipo de dados [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html). Pode levar até 36 horas para os dados estarem disponíveis em contas ou imagens de contêineres novas. Depois, esses dados são atualizados uma vez a cada 24 horas. Para saber mais, consulte [Visualizar as descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) e [Visualizar detalhes das descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html). 

**nota**  
 Esses dados são enviados automaticamente para as descobertas do Amazon ECR quando você ativa a verificação do Amazon ECR e configura o repositório para verificação contínua. A verificação contínua deve ser configurada no nível do repositório do Amazon ECR. Consulte mais informações em [Verificação avançada](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html) no *Guia do usuário do Amazon Elastic Container Registry*. 

 Você também pode [digitalizar novamente imagens de contêineres](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html) de clusters com base em suas last-in-use datas. 

 Esse recurso também é compatível com o Fargate com o Amazon ECS e o Amazon EKS. 

## Sistemas operacionais e tipos de mídia com suporte
<a name="ecr-supported-media"></a>

 Para obter informações sobre os sistemas operacionais com suporte, consulte [Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector](supported.md#supported-os-ecr). 

 As verificações do Amazon Inspector dos repositórios do Amazon ECR abrangem os seguintes tipos de mídia com suporte: 

**Manifesto da imagem**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**Configuração da imagem**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**Camadas da imagem**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**nota**  
 O Amazon Inspector não é compatível com o tipo de mídia `"application/vnd.docker.distribution.manifest.list.v2+json"` para a verificação dos repositórios do Amazon ECR. 

# Configurar a duração da nova verificação do Amazon ECR
<a name="scanning_resources_configure_duration_setting_ecr"></a>

 A configuração de duração da nova verificação do Amazon ECR determina por quanto tempo o Amazon Inspector monitora continuamente as imagens de contêiner nos repositórios. Você configura a duração da nova digitalização para a last-in-use data da imagem, a data da última extração e a data de envio. Como prática recomendada, configure a duração da nova verificação para melhor se adequar ao seu ambiente. 

 Se você cria imagens com frequência, escolha uma duração de verificação menor. Para imagens usadas por longos períodos, escolha uma duração de verificação maior. A duração padrão da verificação para novas contas, incluindo novas contas adicionadas a uma organização, é de 14 dias. 

 O Amazon Inspector continuará monitorando e verificando novamente uma imagem, desde que ela tenha sido usada pela última vez em um cluster ou enviada em até 14 dias (por padrão). Se uma imagem não tiver sido enviada ou usada pela última vez em um contêiner em execução nas datas de envio e da última utilização configuradas, o Amazon Inspector interromperá o monitoramento. Há uma opção para alterar a configuração para monitorar imagens pela data da última extração em vez da última data da última utilização, se necessário. Quando o Amazon Inspector para de monitorar uma imagem, ele define o código do status de verificação da imagem para inativo e o código de motivo para expirado. Em seguida, o Amazon Inspector programa todas as descobertas de imagens associadas para serem fechadas. 

 Se você aumentar a duração da data de envio, o Amazon Inspector aplica a alteração a todas as imagens verificadas ativamente em repositórios configurados para verificação contínua. No entanto, as imagens inativas permanecem inativas, mesmo que você as envie dentro da nova duração. 

 Ao definir a duração da nova verificação a partir de uma conta de administrador delegado, o Amazon Inspector aplica essa configuração a todas as contas-membro na organização. Se a conta de administrador delegado não habilitar a verificação do Amazon ECR, ela não poderá visualizar clusters para uma imagem de API. 

 Para imagens de várias arquiteturas, o rastreamento de last-in-use data não é suportado. Ao usar imagens de várias arquiteturas, recomendamos que você configure a digitalização com base nos eventos de extração ou envio da imagem, em vez da last-in-use data, para garantir o comportamento adequado de nova digitalização. 

**nota**  
 Todas as configurações de duração da nova verificação definidas antes de 16 de maio de 2025 permanecem inalteradas. Você pode continuar usando qualquer configuração padrão definida anteriormente. 

**Duração da nova verificação da imagem**  
 A duração da nova verificação de imagem determina por quanto tempo o Amazon Inspector deve monitorar as imagens. A duração da nova verificação da imagem inclui dois modos: **Data da última utilização** (padrão) ou **Data da última extração**. Escolha **Última data de uso** (padrão) se quiser usar a última data em uso da sua atividade de cluster do Amazon ECS/Amazon EKS. Escolha a **Data da última extração** se quiser usar a data da última extração nas imagens do Amazon ECR para verificar novamente as imagens. As seguintes opções de duração da nova verificação estão disponíveis: 
+  14 dias (padrão) 
+  30 dias 
+  60 dias 
+  90 dias 
+  180 dias 

**Duração da data de envio da imagem**  
 A duração da data de envio da imagem determina por quanto tempo o Amazon Inspector deve monitorar continuamente as imagens após elas serem enviadas para os repositórios. As seguintes opções de duração da nova verificação estão disponíveis: 
+  14 dias (padrão) 
+  30 dias 
+  60 dias 
+  90 dias 
+  180 dias 
+  Tempo de vida 

**Como configurar a duração da nova verificação do Amazon ECR**

1.  [Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.](https://console.aws.amazon.com/inspector/v2/home) 

1.  Selecione Região da AWS onde você deseja configurar a duração da nova verificação do Amazon ECR. 

1.  No painel de navegação, selecione **Configurações gerais**, em seguida, **Configurações de verificação do ECR**. 

1.  Em **Duração da nova digitalização do ECR**, escolha o modo de nova digitalização da imagem e, em seguida, escolha a duração correspondente. 

1.  Em Data de **envio da imagem**, escolha a data de envio da imagem. 

1.  Escolha **Salvar**. 

## Entendendo os estados da imagem do contêiner ECR
<a name="ecr-image-states"></a>

 O Inspector só digitaliza `ACTIVE` imagens em imagens de contentores ECR. As imagens do contêiner ECR em um `ARCHIVED` status não são digitalizadas. Para saber mais sobre os comportamentos de escaneamento, consulte[Comportamentos de verificação para o escaneamento do Amazon ECR](scanning-ecr.md#ecr-scan-behavior). 

 Quando o status da imagem de um contêiner ECR no ECR muda para, o `ACTIVE` Inspector usa o `lastActivatedAt` campo para monitorar a duração da nova digitalização.