本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
扫描图像以查找 Amazon 中的操作系统和编程语言包漏洞 ECR
亚马逊ECR增强型扫描与 Amazon Inspector 集成,可为您的容器映像提供漏洞扫描。将会扫描容器映像是否存在操作系统和编程语言包漏洞。您可以直接通过亚马逊ECR和亚马逊 Inspector 查看扫描结果。有关 Amazon Inspector 的更多信息,请参阅 Amazon Inspector 用户指南中的使用 Amazon Inspector 扫描容器镜像。
借助增强扫描功能,您可以选择配置哪些存储库进行自动连续扫描,配置哪些存储库在推送时扫描。此操作通过设置扫描筛选条件完成。
增强扫描的注意事项
在启用 Amazon ECR 增强型扫描之前,请考虑以下几点。
-
使用此功能不会ECR向亚马逊支付任何额外费用,但是 Amazon Inspector 需要支付扫描您的图像的费用。有关更多信息,请参阅 Amazon Inspector 定价
。 -
以下区域不支持增强扫描:
-
中东 (UAE) (
me-central-1
) -
亚太地区(海得拉巴)(
ap-south-2
) -
以色列(特拉维夫)(
il-central-1
) -
亚太地区(墨尔本)(
ap-southeast-4
) -
欧洲(西班牙)(
eu-south-2
)
-
-
Amazon Inspector 支持扫描特定操作系统。有关完整列表,请参阅 Amazon Ins pector 用户指南中的支持的操作系统-亚马逊ECR扫描。
-
Amazon Inspector 使用服务相关IAM角色,该角色提供对您的存储库进行增强扫描所需的权限。当您的私有注册表启用增强扫描功能时,Amazon Inspector 会自动创建服务相关IAM角色。有关更多信息,请参阅 Amazon Inspector 用户指南中的将服务相关角色用于 Amazon Inspector。
-
当您最初为私有注册表开启增强扫描功能时,Amazon Inspector 只能根据图片推送时间戳或过去 90 天内提取的图片识别过去 30 天内推送到亚马逊ECR的图片。更早映像的扫描状态将为
SCAN_ELIGIBILITY_EXPIRED
。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。 -
在开启增强扫描功能ECR后,所有推送到 Amazon 的图像都将在配置的时间内持续扫描。默认情况下,持续时间为生命周期。此设置可通过 Amazon Inspector 控制台来配置。有关更多信息,请参阅 更改 Amazon Inspector 中映像增强扫描的持续时间。
-
当您的 Amazon ECR 私有注册表启用增强扫描功能时,仅使用增强扫描功能扫描与扫描筛选条件匹配的存储库进行扫描。不符合任何筛选条件的任何存储库将使用
Off
扫描频率,并且不会被扫描。不支持使用增强扫描进行手动扫描。有关更多信息,请参阅 筛选器以选择在 Amazon 中扫描哪些存储库 ECR。 -
如果您为推送时扫描和连续扫描指定了单独的筛选条件,其中多个筛选条件与同一个存储库匹配,则 Amazon 会对该存储库ECR强制使用连续扫描筛选条件,而不是推送时扫描筛选条件。
-
启用增强扫描后,当存储库的扫描频率发生变化 EventBridge 时,Amazon ECR 会向发送一个事件。 EventBridge 当初始扫描完成以及创建、更新或关闭图像扫描结果时,Amazon Inspector 会发出事件。