本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
扫描映像以查找 Amazon ECR 中的操作系统和编程语言包漏洞
Amazon ECR 增强扫描是与 Amazon Inspector 的集成,它为您的容器镜像提供漏洞扫描。将会扫描容器映像是否存在操作系统和编程语言包漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接查看扫描结果。有关 Amazon Inspector 的更多信息,请参阅 Amazon Inspector 用户指南中的使用 Amazon Inspector 扫描容器镜像。
借助增强扫描功能,您可以选择配置哪些存储库进行自动连续扫描,配置哪些存储库在推送时扫描。此操作通过设置扫描筛选条件完成。
增强扫描的注意事项
启用 Amazon ECR 增强扫描时考虑以下因素。
-
使用此功能不会收取 Amazon ECR 的额外费用,但是 Amazon Inspector 会收取扫描映像的费用。此功能在支持 Amazon Inspector 的地区可用。有关更多信息,请参阅:
-
亚马逊 Inspector 定价 — 亚马逊 Inspector 定价
。 -
Amazon Inspector 支持的区域 — 区域和终端节点。
-
-
Amazon ECR 增强型扫描显示了如何在 Amazon EKS 和 Amazon ECS 上使用图像。您可以查看上次使用图像的时间,并确定有多少集群使用每张图像。此信息可帮助您确定修复经常使用的映像的漏洞优先级。您可以快速确定哪些集群可能受到新发现的漏洞的影响。有关如何请求这些信息并查看响应的更多信息,请参阅
DescribeImageScanFindings
。 -
Amazon Inspector 支持扫描特定操作系统。获取完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统 - Amazon ECR 扫描。
-
Amazon Inspector 使用服务相关 IAM 角色,该角色提供了为存储库提供增强扫描所需的权限。为私有注册表开启增强扫描后,Amazon Inspector 会自动创建服务相关 IAM 角色。有关更多信息,请参阅 Amazon Inspector 用户指南中的将服务相关角色用于 Amazon Inspector。
-
当您最初为私有注册表开启增强扫描功能时,Amazon Inspector 只能根据图像推送时间戳识别过去 14 天内推送到 Amazon ECR 的图像。更早映像的扫描状态将为
SCAN_ELIGIBILITY_EXPIRED
。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。 -
如果您的 Amazon ECR 私有注册表开启了增强扫描,则只能使用增强扫描功能来扫描符合扫描筛选条件的所有存储库。不符合任何筛选条件的任何存储库将使用
Off
扫描频率,并且不会被扫描。不支持使用增强扫描进行手动扫描。有关更多信息,请参阅 用于选择在 Amazon ECR 中扫描哪些存储库的筛选条件。 -
如果您为推送扫描和连续扫描分别指定了筛选条件,并且同一存储库符合多个筛选条件,则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件,而不是推送扫描筛选条件。
-
启用增强扫描后,当存储库的扫描频率发生变化 EventBridge 时,Amazon ECR 会向发送一个事件。 EventBridge 当初始扫描完成以及创建、更新或关闭图像扫描结果时,Amazon Inspector 会发出事件。
更改 Amazon Inspector 中映像增强扫描的持续时间
启用增强扫描后,Amazon ECR 会在配置的时间内持续扫描新推送的图像。默认情况下,Amazon Inspector 会监控您的存储库,直到图像被删除或禁用增强型扫描。您可以在 Amazon Inspector 控制台中配置推送日期持续时间(最长为生命周期)和重新扫描时长,以满足您的环境需求。当存储库的扫描持续时间过后,扫描状态将显示为。SCAN_ELIGIBILITY_EXPIRED
有关在 Amazon Inspector 中为 Amazon ECR 配置重新扫描持续时间设置的更多信息,请参阅 Amaz on Inspector 用户指南中的配置 Amazon ECR 重新扫描持续时间。