在 Amazon ECR 中設定映像的增強型掃描 - Amazon ECR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon ECR 中設定映像的增強型掃描

為每個區域設定私有登錄檔的增強型掃描。

確認您具有設定增強型掃描的適當 IAM 許可。如需相關資訊,請參閱在 Amazon ECR 中增強型掃描所需的 IAM 許可

AWS Management Console
開啟私有登錄檔的增強型掃描

  1. https://console.aws.amazon.com/ecr/repositories 開啟 Amazon ECR 主控台。

  2. 從導覽列選擇要為其設定掃描組態的區域。

  3. 在導覽窗格中,選擇私有登錄檔,然後選擇設定

  4. Scanning configuration (掃描組態) 頁面,針對 Scan type (掃描類型) 選擇 Enhanced scanning (增強型掃描)。

    根據預設,選取增強型掃描時,會持續掃描所有儲存庫。

  5. 若要選擇要持續掃描的特定儲存庫,請清除持續掃描所有儲存庫方塊,然後定義篩選條件:

    重要

    沒有萬用字元的篩選條件會比對內含篩選條件的所有儲存庫名稱。具有萬用字元 (*) 的篩選條件會比對儲存庫名稱,其中萬用字元會取代儲存庫名稱中零個以上的字元。若要查看篩選條件行為的範例,請參閱 篩選萬用字元

    1. 根據儲存庫名稱輸入篩選條件,然後選擇新增篩選條件

    2. 決定推送映像時要掃描的儲存庫:

      • 若要在推送時掃描所有儲存庫,請選取推送時掃描所有儲存庫

      • 若要在推送時選擇要掃描的特定儲存庫,請根據儲存庫名稱輸入篩選條件,然後選擇新增篩選條件

  6. 選擇儲存

  7. 在要開啟增強型掃描的各個區域重複這些步驟。

AWS CLI

使用以下 AWS CLI 命令,使用 開啟私有登錄檔的增強型掃描 AWS CLI。您可以使用 rules 物件指定掃描篩選條件。

  • put-registry-scanning-configuration (AWS CLI)

    下列範例會為私有登錄檔開啟增強型掃描。在預設情況下,當未指定 rules 時,Amazon ECR 會將掃描組態設定為替所有儲存庫連續掃描。

    aws ecr put-registry-scanning-configuration \
     --scan-type ENHANCED \
     --region us-east-2

    下列範例會為私有登錄檔開啟增強型掃描,並指定掃描篩選條件。範例中的掃描篩選條件可針對在其名稱具有 prod 的所有儲存庫開啟連續掃描。

    aws ecr put-registry-scanning-configuration \
     --scan-type ENHANCED \
     --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"}]' \
     --region us-east-2

    下列範例會為私有登錄檔開啟增強型掃描,並指定多個掃描篩選條件。範例中的掃描篩選條件可針對在其名稱中具有 prod 的所有儲存庫開啟連續掃描,並且僅針對所有其他儲存庫開啟推送時掃描。

    aws ecr put-registry-scanning-configuration \
     --scan-type ENHANCED \
     --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"},{"repositoryFilters" : [{"filter":"*","filterType" : "WILDCARD"}],"scanFrequency" : "SCAN_ON_PUSH"}]' \
     --region us-west-2