本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon Inspector 掃描 Amazon Elastic Container Registry 容器映像
<a name="scanning-ecr"></a>

 Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry 中的容器映像是否有軟體漏洞，以產生[套件漏洞問題清單](https://docs.aws.amazon.com/)。當您啟用 Amazon ECR 掃描時，您可以將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。

**注意**  
 Amazon ECR 使用登錄政策將許可授予 AWS 委託人。此主體具有呼叫 Amazon Inspector APIs進行掃描所需的許可。設定登錄政策的範圍時，您不得在 `PutRegistryScanningConfiguration` 中新增 `ecr:*` 動作或 `deny`。在啟用和停用 Amazon ECR 掃描時，這會導致登錄檔層級發生錯誤。

 透過基本掃描，您可以將儲存庫設定為在推送時掃描或執行手動掃描。透過增強型掃描，您可以在登錄檔層級掃描作業系統和程式設計語言套件漏洞。如需基本掃描和增強型掃描之間差異的side-by-side比較，請參閱 [Amazon Inspector 常見問答集](https://aws.amazon.com/inspector/faqs/)。

**注意**  
 基本掃描是透過 Amazon ECR 提供和計費。如需詳細資訊，請參閱 [Amazon Elastic Container Registry 定價](https://aws.amazon.com/ecr/pricing/)。增強型掃描會透過 Amazon Inspector 提供並計費。如需詳細資訊，請參閱 [Amazon Inspector 定價](https://aws.amazon.com/inspector/pricing/)。

 如需如何啟用 Amazon ECR 掃描的資訊，請參閱[啟用掃描類型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。如需如何檢視問題清單的資訊，請參閱[檢視 Amazon Inspector 問題清單](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)。如需有關如何在映像層級檢視 Amazon ECR 內問題清單的資訊，請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[映像掃描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。您可以使用 AWS 服務 管理無法用於基本掃描的問題清單，例如 [AWS Security Hub CSPM 和 Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html)。

 您可以透過涵蓋範圍頁面和 API，檢視 Amazon Inspector 中每個儲存庫的掃描組態。 APIs 不過，基本掃描與連續掃描的組態設定只能在 Amazon ECR 中修改。Amazon Inspector 提供這些設定的可見性，但不提供直接修改功能。如需詳細資訊，請參閱《[Amazon ECR 使用者指南》中的掃描映像是否有 Amazon ECR 中的軟體漏洞](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。 **

 本節提供有關 Amazon ECR 掃描的資訊，並說明如何設定 Amazon ECR 儲存庫的增強型掃描。

## Amazon ECR 掃描的掃描行為
<a name="ecr-scan-behavior"></a>

 當您第一次啟用 Amazon ECR 掃描時，Amazon Inspector 會偵測過去 14 天內推送的映像。然後，Amazon Inspector 會掃描影像，並將掃描狀態設定為 `ACTIVE`。Amazon Inspector 只會掃描 ECR 中的作用中映像 (`imageStatus` 欄位為 `ACTIVE`)。Amazon Inspector 不會掃描 ECR 中封存狀態的影像 (`imageStatus` 欄位為 `ARCHIVED`)。

 如果啟用持續掃描，Amazon Inspector 會在 14 天內推送映像 （預設）、last-in-use日期在 14 天內 （預設），或在設定的重新掃描持續時間內掃描映像。對於 2025 年 5 月 16 日之前建立的 Amazon Inspector 帳戶，預設組態是重新掃描，以便在在過去 90 天內推送或提取映像時監控映像。如需詳細資訊，請參閱[設定 Amazon ECR 重新掃描持續時間](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)。

對於持續掃描，Amazon Inspector 會在下列情況啟動容器映像的新漏洞掃描：
+ 每當推送新的容器映像時。
+ 每當 Amazon Inspector 將新的常見漏洞和暴露 (CVE) 項目新增至其資料庫，且該 CVE 與該容器映像相關時 （僅限持續掃描）。
+ 每當容器映像從封存轉換到 ECR 中的作用中時。

如果您在推送掃描時為 設定儲存庫，則只會在推送影像時掃描影像。

您可以從**帳戶管理**頁面上的容器映像索引標籤或使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API，檢查上次檢查**容器映像**是否有漏洞。Amazon Inspector 會更新 Amazon ECR 映像的**上次掃描欄位**，以回應下列事件：
+ 當 Amazon Inspector 完成容器映像的初始掃描時。
+ 當 Amazon Inspector 重新掃描容器映像時，因為會影響該容器映像的新常見漏洞和暴露 (CVE) 項目已新增至 Amazon Inspector 資料庫。

### 封存的 ECR 容器映像
<a name="archived-ecr-images"></a>

 Amazon Inspector 不會掃描存檔在 ECR 中的容器映像 (`imageStatus` 是 `ARCHIVED`)。當 ECR 中的作用中映像轉換為封存時，Amazon Inspector 會自動關閉問題清單，然後在 3 天後刪除問題清單。如果封存的容器映像在 ECR 中轉換為作用中，Amazon Inspector 會觸發新的掃描。

## 將容器映像映射至執行中的容器
<a name="ecr-mapping-container-images"></a>

 Amazon Inspector 透過將容器映像映射至跨 Amazon Elastic Container Service (Amazon ECS) 和 Amazon Elastic Kubernetes Service (Amazon EKS) 執行中的容器，提供全面的容器安全管理。這些映射提供執行中容器上映像的漏洞洞見。

**注意**  
 `AWSReadOnlyAccess` 僅受管政策無法提供足夠的許可來檢視 Amazon ECR 映像與執行中容器之間的映射。您需要 `AWSReadOnlyAccess`和 `AWSInspector2ReadOnlyAccess`受管政策才能檢視容器映像映射資訊。

 您可以根據營運風險排定修補工作的優先順序，並在整個容器生態系統中維護安全涵蓋範圍。您可以檢視目前使用中的容器映像數量，以及過去 24 小時內在 Amazon ECS 或 Amazon EKS 叢集上使用的容器映像數量。您也可以檢視部署了多少 Amazon ECS 任務和 Amazon EKS Pod。此資訊可在容器映像問題清單的詳細資訊畫面的 Amazon Inspector 主控台中找到，並使用 `ecrImageInUseCount`和 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) 資料類型的`ecrImageLastInUseAt`篩選條件。對於新的容器映像或帳戶，最多可能需要 36 小時才能使用資料。之後，此資料每 24 小時更新一次。如需詳細資訊，請參閱[檢視 Amazon Inspector 調查結果](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)和[檢視 Amazon Inspector 調查結果的詳細資訊](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html)。

**注意**  
 當您啟用 Amazon ECR 掃描並設定儲存庫以進行持續掃描時，此資料會自動傳送至 Amazon ECR 問題清單。必須在 Amazon ECR 儲存庫層級設定持續掃描。如需詳細資訊，請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[增強型掃描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)。

 您也可以根據叢集last-in-use日期，從叢集[重新掃描容器映像](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)。

 Fargate 搭配 Amazon ECS 和 Amazon EKS 也支援此功能。

## 支援的作業系統和媒體類型
<a name="ecr-supported-media"></a>

 如需支援的作業系統相關資訊，請參閱 [支援的作業系統：使用 Amazon Inspector 進行 Amazon ECR 掃描](supported.md#supported-os-ecr)。

 Amazon ECR 儲存庫的 Amazon Inspector 掃描涵蓋下列支援的媒體類型：

**影像資訊清單**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**映像組態**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**映像層**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**注意**  
 Amazon Inspector 不支援掃描 Amazon ECR 儲存庫的`"application/vnd.docker.distribution.manifest.list.v2+json"`媒體類型。