本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
扫描图像以查找 Amazon ECR 中的操作系统和编程语言包漏洞
Amazon ECR 增强扫描是与 Amazon Inspector 的集成,它为您的容器镜像提供漏洞扫描。将会扫描容器映像是否存在操作系统和编程语言包漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接查看扫描结果。有关 Amazon Inspector 的更多信息,请参阅 Amazon Inspector 用户指南中的使用 Amazon Inspector 扫描容器镜像。
借助增强扫描功能,您可以选择配置哪些存储库进行自动连续扫描,配置哪些存储库在推送时扫描。此操作通过设置扫描筛选条件完成。
增强扫描的注意事项
在启用 Amazon ECR 增强型扫描之前,请考虑以下几点。
-
使用此功能不会收取 Amazon ECR 的额外费用,但是 Amazon Inspector 会收取扫描映像的费用。有关更多信息,请参阅 Amazon Inspector 定价
。 -
以下区域不支持增强扫描:
-
中东(阿联酋)(
me-central-1
) -
亚太地区(海得拉巴)(
ap-south-2
) -
以色列(特拉维夫)(
il-central-1
) -
亚太地区(墨尔本)(
ap-southeast-4
) -
欧洲(西班牙)(
eu-south-2
)
-
-
Amazon Inspector 支持扫描特定操作系统。获取完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统 - Amazon ECR 扫描。
-
Amazon Inspector 使用服务相关 IAM 角色,该角色提供了为存储库提供增强扫描所需的权限。为私有注册表开启增强扫描后,Amazon Inspector 会自动创建服务相关 IAM 角色。有关更多信息,请参阅 Amazon Inspector 用户指南中的将服务相关角色用于 Amazon Inspector。
-
当您最初为私有注册表开启增强扫描功能时,Amazon Inspector 只能根据图片推送时间戳或过去 90 天内提取的图像识别过去 30 天内推送到 Amazon ECR 的图像。更早映像的扫描状态将为
SCAN_ELIGIBILITY_EXPIRED
。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。 -
开启增强扫描后推送到 Amazon ECR 的所有映像都会在配置的持续时间内持续扫描。默认情况下,持续时间为生命周期。此设置可通过 Amazon Inspector 控制台来配置。有关更多信息,请参阅 在 Amazon Inspector 中更改图像的增强扫描时长。
-
如果您的 Amazon ECR 私有注册表开启了增强扫描,则只能使用增强扫描功能来扫描符合扫描筛选条件的所有存储库。不符合任何筛选条件的任何存储库将使用
Off
扫描频率,并且不会被扫描。不支持使用增强扫描进行手动扫描。有关更多信息,请参阅 用于选择在 Amazon ECR 中扫描哪些存储库的筛选器。 -
如果您为推送扫描和连续扫描分别指定了筛选条件,并且同一存储库符合多个筛选条件,则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件,而不是推送扫描筛选条件。
-
启用增强扫描后,当存储库的扫描频率发生变化 EventBridge 时,Amazon ECR 会向发送一个事件。 EventBridge 当初始扫描完成以及创建、更新或关闭图像扫描结果时,Amazon Inspector 会发出事件。