本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon ECR 中掃描映像是否有作業系統和程式設計語言套件漏洞
<a name="image-scanning-enhanced"></a>

Amazon ECR 增強型掃描已與 Amazon Inspector 整合，可為容器映像提供漏洞掃描。系統會掃描容器映像，檢查是否有作業系統和程式設計語言套件漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接檢視掃描問題清單。如需有關 Amazon Inspector 的詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[使用 Amazon Inspector 掃描容器映像](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html)。

透過增強型掃描，您可以選擇要將哪些儲存庫設定為自動連續掃描，以及將哪些儲存庫設定為推送時掃描。設定掃描篩選條件可完成此操作。

## 增強型掃描的注意事項
<a name="image-scanning-enhanced-considerations"></a>

啟用 Amazon ECR 增強型掃描之前，請考慮下列事項。
+ 使用此功能不會從 Amazon ECR 產生任何額外成本，但是，掃描映像檔則會從 Amazon Inspector 產生成本。此功能適用於支援 Amazon Inspector 的區域。如需詳細資訊，請參閱：
  + Amazon Inspector 定價 – [Amazon Inspector 定價](https://aws.amazon.com/inspector/pricing/)。
  + Amazon Inspector 支援的區域 – [區域和端點](https://docs.aws.amazon.com//inspector/latest/user/inspector_regions.html)。
+ Amazon ECR 增強型掃描顯示如何在 Amazon EKS 和 Amazon ECS 上使用映像。您可以查看上次使用映像的時間，並識別有多少叢集使用每個映像。此資訊可協助您排定主動使用映像的漏洞修復優先順序。您可以快速判斷哪些叢集可能受到新發現的漏洞影響。如需如何請求這些資訊和檢視回應的詳細資訊，請參閱 [https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html](https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html)。
+ Amazon Inspector 支援掃描特定作業系統。如需完整清單，請參閱《Amazon Inspector 使用者指南》**中的[支援的作業系統：Amazon ECR 掃描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os)。
+ Amazon Inspector 使用服務連結 IAM 角色，該角色提供為儲存庫提供增強型掃描所需的許可。為私有登錄檔開啟增強型掃描時，Amazon Inspector 會自動建立服務連結 IAM 角色。如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[使用 Amazon Inspector 的服務連結角色](https://docs.aws.amazon.com/inspector/latest/user/using-service-linked-roles.html)。
+ 當您最初開啟私有登錄檔的增強型掃描時，Amazon Inspector 只會根據映像推送時間戳記，辨識過去 14 天內推送至 Amazon ECR 的映像。較舊的映像會具有 ` SCAN_ELIGIBILITY_EXPIRED` 掃描狀態。如果您希望 Amazon Inspector 掃描這些映像，則必須將這些映像再次推送到儲存庫中。
+ 為 Amazon ECR 私有登錄檔開啟增強型掃描時，系統只會使用增強型掃描來掃描符合掃描篩選條件的所有儲存庫。不符合篩選條件的儲存庫都會具備 `Off` 掃描頻率，且不會被掃描。不支援使用增強掃描的手動掃描。如需詳細資訊，請參閱[選擇在 Amazon ECR 中掃描哪些儲存庫的篩選條件](image-scanning-filters.md)。
+ 如果您為「依據推送進行掃描」和「連續掃描」分別指定了篩選條件，發生同一儲存庫符合多個篩選條件的情況，則 Amazon ECR 會對該儲存庫強制優先執行「連續掃描」，而非「依據推送篩選條件進行掃描」。
+ 開啟增強型掃描後，如果儲存庫的掃描頻率發生變更，Amazon ECR 會將事件傳送至 EventBridge。初始掃描完成且建立、更新或關閉映像掃描問題清單後，Amazon Inspector 會將事件發送到 EventBridge。

## 變更 Amazon Inspector 中影像的增強型掃描持續時間
<a name="image-scanning-enhanced-duration"></a>

啟用增強型掃描之後，Amazon ECR 會在設定的持續時間內持續掃描新推送的映像。根據預設，Amazon Inspector 會監控您的儲存庫，直到刪除映像或停用增強型掃描為止。您可以在 Amazon Inspector 主控台中設定推送日期持續時間 （最長可達生命週期） 和重新掃描持續時間，以符合環境的需求。當儲存庫的掃描持續時間經過時，掃描狀態會顯示為 `SCAN_ELIGIBILITY_EXPIRED`。如需在 Amazon Inspector 中設定 Amazon ECR 重新掃描持續時間設定的詳細資訊，請參閱[《Amazon Inspector 使用者指南》中的設定 Amazon ECR 重新掃描持續時間](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#scan-duration-setting)。 *Amazon Inspector *