本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon ECR 中配置映像的增强扫描
为您的私有注册表配置每个区域的增强扫描。
验证您是否拥有配置增强扫描的适当 IAM 权限。有关信息,请参阅在 Amazon ECR 中进行增强扫描所需的 IAM 权限。
- AWS Management Console
-
要为私有注册表开启增强扫描
在https://console.aws.amazon.com/ecr/存储库
中打开 Amazon ECR 控制台。 -
从导航栏中,选择要为其设置扫描配置的区域。
-
在导航窗格中,选择私有注册表,然后选择设置。
-
在 Scanning configuration(扫描配置)页面中,为 Scan type(扫描类型)选择 Enhanced scanning(增强扫描)。
默认情况下,当增强扫描处于选中状态时,所有存储库都被连续扫描。
-
要选择连续扫描的特定存储库,请清除连续扫描所有存储库复选框,然后定义筛选条件:
重要
没有通配符的筛选条件将匹配包含该筛选条件的所有存储库名称。带通配符 (
*) 的筛选条件匹配存储库名称,通配符会替换存储库名称中的零个或多个字符。要查看筛选条件行为的示例,请参阅筛选条件通配符。-
输入基于存储库名称的筛选条件,然后选择添加筛选条件。
-
决定推送映像时要扫描哪些存储库:
-
要在推送时扫描所有存储库,请选择推送时扫描所有存储库。
-
要选择在推送时扫描的特定存储库,请输入基于存储库名称的筛选条件,然后选择添加筛选条件。
-
-
-
选择保存。
-
在您要开启增强扫描的每个区域中重复这些步骤。
- AWS CLI
-
使用以下 AWS CLI 命令开启对私有注册表的增强扫描 AWS CLI。您可以使用
rules对象指定扫描筛选条件。-
put-registry-scanning-configuration (AWS CLI)
以下示例将为您的私有注册表开启增强扫描。默认情况下,如果没有指定
rules,Amazon ECR 会将扫描配置设置为对所有存储库进行持续扫描。aws ecr put-registry-scanning-configuration \ --scan-typeENHANCED\ --regionus-east-2以下示例将为您的私有注册表开启增强扫描并指定扫描筛选条件。示例中的扫描筛选条件将对名称中带有
prod的所有存储库开启持续扫描。aws ecr put-registry-scanning-configuration \ --scan-typeENHANCED\ --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"}]' \ --regionus-east-2以下示例将为您的私有注册表开启增强扫描并指定多个扫描筛选条件。示例中的扫描筛选条件将对名称中带有
prod的所有存储库开启持续扫描,并且对所有其他存储库开启仅在推送时扫描。aws ecr put-registry-scanning-configuration \ --scan-typeENHANCED\ --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"},{"repositoryFilters" : [{"filter":"*","filterType" : "WILDCARD"}],"scanFrequency" : "SCAN_ON_PUSH"}]' \ --regionus-west-2
-
