扫描图像以查找 Amazon ECR 中的操作系统和编程语言包漏洞 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

扫描图像以查找 Amazon ECR 中的操作系统和编程语言包漏洞

Amazon ECR 增强扫描是与 Amazon Inspector 的集成,它为您的容器镜像提供漏洞扫描。将会扫描容器映像是否存在操作系统和编程语言包漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接查看扫描结果。有关 Amazon Inspector 的更多信息,请参阅 Amazon Inspector 用户指南中的使用 Amazon Inspector 扫描容器镜像

借助增强扫描功能,您可以选择配置哪些存储库进行自动连续扫描,配置哪些存储库在推送时扫描。此操作通过设置扫描筛选条件完成。

增强扫描的注意事项

在启用 Amazon ECR 增强型扫描之前,请考虑以下几点。

  • 使用此功能不会收取 Amazon ECR 的额外费用,但是 Amazon Inspector 会收取扫描映像的费用。有关更多信息,请参阅 Amazon Inspector 定价

  • 以下区域不支持增强扫描:

    • 中东(阿联酋)(me-central-1)

    • 亚太地区(海得拉巴)(ap-south-2

    • 以色列(特拉维夫)(il-central-1

    • 亚太地区(墨尔本)(ap-southeast-4)

    • 欧洲(西班牙)(eu-south-2

  • Amazon Inspector 支持扫描特定操作系统。获取完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统 - Amazon ECR 扫描

  • Amazon Inspector 使用服务相关 IAM 角色,该角色提供了为存储库提供增强扫描所需的权限。为私有注册表开启增强扫描后,Amazon Inspector 会自动创建服务相关 IAM 角色。有关更多信息,请参阅 Amazon Inspector 用户指南中的将服务相关角色用于 Amazon Inspector

  • 当您最初为私有注册表开启增强扫描功能时,Amazon Inspector 只能根据图片推送时间戳或过去 90 天内提取的图像识别过去 30 天内推送到 Amazon ECR 的图像。更早映像的扫描状态将为 SCAN_ELIGIBILITY_EXPIRED。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。

  • 开启增强扫描后推送到 Amazon ECR 的所有映像都会在配置的持续时间内持续扫描。默认情况下,持续时间为生命周期。此设置可通过 Amazon Inspector 控制台来配置。有关更多信息,请参阅 在 Amazon Inspector 中更改图像的增强扫描时长

  • 如果您的 Amazon ECR 私有注册表开启了增强扫描,则只能使用增强扫描功能来扫描符合扫描筛选条件的所有存储库。不符合任何筛选条件的任何存储库将使用 Off 扫描频率,并且不会被扫描。不支持使用增强扫描进行手动扫描。有关更多信息,请参阅 用于选择在 Amazon ECR 中扫描哪些存储库的筛选器

  • 如果您为推送扫描和连续扫描分别指定了筛选条件,并且同一存储库符合多个筛选条件,则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件,而不是推送扫描筛选条件。

  • 启用增强扫描后,当存储库的扫描频率发生变化 EventBridge 时,Amazon ECR 会向发送一个事件。 EventBridge 当初始扫描完成以及创建、更新或关闭图像扫描结果时,Amazon Inspector 会发出事件。