在 Amazon 中为图像配置增强扫描 ECR - 亚马逊 ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中为图像配置增强扫描 ECR

为您的私有注册表配置每个区域的增强扫描。

确认您具有配置增强扫描的适当IAM权限。有关信息,请参阅IAM在 Amazon 中进行增强扫描所需的权限 ECR

Amazon Web Services Management Console
为私有注册表开启增强扫描功能
  1. https://console.aws.amazon.com/ecr/存储库中打开 Amazon ECR 控制台。

  2. 从导航栏中,选择要为其设置扫描配置的区域。

  3. 在导航窗格中,选择私有注册表,然后选择设置

  4. Scanning configuration(扫描配置)页面中,为 Scan type(扫描类型)选择 Enhanced scanning(增强扫描)。

    默认情况下,如果选择 “增强扫描”,则会持续扫描您的所有存储库。

  5. 要选择要持续扫描的特定存储库,请清除 “持续扫描所有存储库” 复选框,然后定义筛选器:

    重要

    没有通配符的筛选条件将匹配包含该筛选条件的所有存储库名称。带通配符 (*) 的筛选条件匹配存储库名称,通配符会替换存储库名称中的零个或多个字符。要查看过滤器行为的示例,请参阅筛选通配符

    1. 输入基于存储库名称的筛选器,然后选择 “添加筛选器”。

    2. 决定推送图像时要扫描哪些存储库:

      • 要在推送时扫描所有存储库,请选择 “推送所有仓库时扫描”。

      • 要选择要在推送时扫描的特定存储库,请输入基于存储库名称的筛选器,然后选择 “添加筛选器”。

  6. 选择保存

  7. 在您要开启增强扫描的每个区域中重复这些步骤。

Amazon CLI

使用以下 Amazon CLI 命令开启对私有注册表的增强扫描 Amazon CLI。您可以使用 rules 对象指定扫描筛选条件。

  • put-registry-scanning-configuration (Amazon CLI)

    以下示例将为您的私有注册表开启增强扫描。默认情况下,如果未指定rules,Amazon 会将扫描配置ECR设置为对所有存储库进行持续扫描。

    aws ecr put-registry-scanning-configuration \ --scan-type ENHANCED \ --region us-east-2

    以下示例将为您的私有注册表开启增强扫描并指定扫描筛选条件。示例中的扫描筛选条件将对名称中带有 prod 的所有存储库开启持续扫描。

    aws ecr put-registry-scanning-configuration \ --scan-type ENHANCED \ --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"}]' \ --region us-east-2

    以下示例将为您的私有注册表开启增强扫描并指定多个扫描筛选条件。示例中的扫描筛选条件将对名称中带有 prod 的所有存储库开启持续扫描,并且对所有其他存储库开启仅在推送时扫描。

    aws ecr put-registry-scanning-configuration \ --scan-type ENHANCED \ --rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"},{"repositoryFilters" : [{"filter":"*","filterType" : "WILDCARD"}],"scanFrequency" : "SCAN_ON_PUSH"}]' \ --region us-west-2