本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 扫描映像以查找 Amazon ECR 中的操作系统和编程语言包漏洞
<a name="image-scanning-enhanced"></a>

Amazon ECR 增强扫描是与 Amazon Inspector 的集成，它为您的容器镜像提供漏洞扫描。将会扫描容器映像是否存在操作系统和编程语言包漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接查看扫描结果。有关 Amazon Inspector 的更多信息，请参阅 *Amazon Inspector 用户指南*中的[使用 Amazon Inspector 扫描容器镜像](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html)。

借助增强扫描功能，您可以选择配置哪些存储库进行自动连续扫描，配置哪些存储库在推送时扫描。此操作通过设置扫描筛选条件完成。

## 增强扫描的注意事项
<a name="image-scanning-enhanced-considerations"></a>

启用 Amazon ECR 增强扫描时考虑以下因素。
+ 使用此功能不会收取 Amazon ECR 的额外费用，但是 Amazon Inspector 会收取扫描映像的费用。在支持 Amazon Inspector 的区域中提供了此功能。有关更多信息，请参阅:
  + Amazon Inspector 定价 - [Amazon Inspector 定价](https://aws.amazon.com/inspector/pricing/)。
  + Amazon Inspector 支持的区域 - [区域和端点](https://docs.aws.amazon.com//inspector/latest/user/inspector_regions.html)。
+ Amazon ECR 增强型扫描显示了如何在 Amazon EKS 和 Amazon ECS 上使用映像。您可以看到上次使用映像的时间，并确定有多少集群使用每个映像。此信息可帮助确定对活跃映像的漏洞修复的优先顺序。您可以快速确定哪些集群可能受到新发现的漏洞的影响。有关如何请求这些信息以及如何查看响应的更多信息，请参阅 [https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html](https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html)。
+ Amazon Inspector 支持扫描特定操作系统。获取完整列表，请参阅 *Amazon Inspector 用户指南*中的[支持的操作系统 - Amazon ECR 扫描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os)。
+ Amazon Inspector 使用服务相关 IAM 角色，该角色提供了为存储库提供增强扫描所需的权限。为私有注册表开启增强扫描后，Amazon Inspector 会自动创建服务相关 IAM 角色。有关更多信息，请参阅 *Amazon Inspector 用户指南*中的[将服务相关角色用于 Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/using-service-linked-roles.html)。
+ 当您最初为私有注册表启用增强扫描功能时，Amazon Inspector 只能根据图像推送时间戳识别过去 14 天内推送到 Amazon ECR 的图像。更早映像的扫描状态将为 ` SCAN_ELIGIBILITY_EXPIRED`。如果您需要让 Amazon Inspector 扫描这些映像，则应将其重新推送到您的存储库。
+ 如果您的 Amazon ECR 私有注册表开启了增强扫描，则只能使用增强扫描功能来扫描符合扫描筛选条件的所有存储库。不符合任何筛选条件的任何存储库将使用 `Off` 扫描频率，并且不会被扫描。不支持使用增强扫描进行手动扫描。有关更多信息，请参阅 [用于选择在 Amazon ECR 中扫描哪些存储库的筛选条件](image-scanning-filters.md)。
+ 如果您为推送扫描和连续扫描分别指定了筛选条件，并且同一存储库符合多个筛选条件，则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件，而不是推送扫描筛选条件。
+ 启用增强扫描后，当存储库的扫描频率发生变化 EventBridge 时，Amazon ECR 会向发送一个事件。 EventBridge 当初始扫描完成以及创建、更新或关闭图像扫描结果时，Amazon Inspector 会发出事件。

## 更改 Amazon Inspector 中映像增强扫描的持续时间
<a name="image-scanning-enhanced-duration"></a>

启用增强扫描后，Amazon ECR 会在配置的持续时间内持续扫描新推送的映像。默认情况下，Amazon Inspector 会监控您的存储库，直到映像被删除或增强型扫描被禁用为止。您可以根据您的环境需求，在 Amazon Inspector 控制台中配置推送日期持续时间（最长为生命周期）和重新扫描持续时间。当存储库的扫描持续时间已过时，扫描状态将显示为 `SCAN_ELIGIBILITY_EXPIRED`。有关在 Amazon Inspector 中为 Amazon ECR 配置重新扫描持续时间设置的更多信息，请参阅 Amazon Inspector 用户指南中的[配置 Amazon ECR 重新扫描持续时间](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#scan-duration-setting)。