本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 Amazon ECR 重新扫描持续时间
Amazon ECR 重新扫描持续时间设置决定了 Amazon Inspector 持续监控存储库中的容器映像的时间。您可以为图像 last-in-use日期、上次提取日期和推送日期配置重新扫描持续时间。最佳做法是,根据您的环境配置最合适的重新扫描持续时间。
如果您经常构建映像,请选择较短的扫描持续时间。对于长时间使用的映像,请选择更长的扫描持续时间。新帐户(包括添加到组织中的新帐户)的默认扫描持续时间为 14 天。
只要映像在集群上的上次使用或推送时间在 14 天内(默认情况下),Amazon Inspector 就会继续监控和重新扫描映像。如果映像在配置的推送日期和上次使用日期内未被推送或未在运行的容器上使用,则 Amazon Inspector 将停止对其进行监控。如果需要,可以选择将设置更改为按上次拉取日期监控映像,而不是按上次使用日期监控映像。当 Amazon Inspector 停止监控映像时,它会将映像扫描状态代码设置为非活动,并将原因代码设置为已过期。然后,Amazon Inspector 会计划关闭所有相关的映像调查发现。
例如,如果延长拉取日期持续时间,Amazon Inspector 会将更改应用于配置为持续扫描的存储库中所有正在主动扫描的映像。但是,即使您在新的持续时间内推送了非活动映像,它们仍处于非活动状态。
通过委派管理员账户配置重新扫描持续时间时,Amazon Inspector 会将该设置应用于组织中的所有成员账户。如果委派管理员账户未启用 Amazon ECR 扫描,则无法查看 API 映像的集群。
对于多架构映像,不支持 last-in-use日期跟踪。使用多架构映像时,我们建议您根据图像拉取或推送事件而不是 last-in-use日期来配置扫描,以确保正确的重新扫描行为。
注意
2025 年 5 月 16 日之前配置的所有重新扫描持续时间设置将保持不变。您可以继续使用先前配置的任何默认设置。
映像重新扫描持续时间
映像重新扫描持续时间决定了 Amazon Inspector 监控映像的时间长度。图像重新扫描持续时间包括两种模式:上次使用日期(默认)或上次提取日期。如果您想使用 Amazon E ECS/Amazon KS 集群活动中的上次使用日期,请选择上次使用日期(默认)。如果您想使用 Amazon ECR 映像的上次拉取日期来重新扫描映像,请选择上次拉取日期。可选择以下重新扫描持续时间选项:
-
14 天(默认)
-
30 天
-
60 天
-
90 天
-
180 天
映像推送日期持续时间
映像推送日期持续时间决定了 Amazon Inspector 在将映像推送到存储库之后会持续监控映像的时间长度。可选择以下重新扫描持续时间选项:
-
14 天(默认)
-
30 天
-
60 天
-
90 天
-
180 天
-
生命周期
配置 Amazon ECR 重新扫描持续时间
-
使用您的凭证登录,然后在 https://console.aws.amazon.com/inspector/v2/
home 中打开 Amazon Inspector 控制台。 -
选择您要配置 Amazon ECR 重新扫描持续时间 AWS 区域 的位置。
-
在导航窗格中,依次选择常规设置和 ECR 扫描设置。
-
在 ECR 重新扫描持续时间下,选择映像重新扫描模式,然后选择相应的持续时间。
-
在映像推送日期下,选择映像推送日期。
-
选择保存。
了解 ECR 容器镜像状态
Inspector 仅扫描 ECR 容器镜像中的ACTIVE图像。不扫描处于ARCHIVED状态的 ECR 容器映像。要了解有关扫描行为的更多信息,请参阅Amazon ECR 扫描的扫描行为。
当 ECR 容器镜像在 ECR 中的图像状态转换为,ACTIVEInspector 会使用该lastActivatedAt字段来监控重新扫描的持续时间。
