使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像 - Amazon Inspector
Amazon ECR 扫描的扫描行为将容器镜像映射到正在运行的容器支持的操作系统和媒体类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像

Amazon Inspector 会扫描存储在 Amazon Elastic Container Registry 中的容器映像是否存在软件漏洞,以生成程序包漏洞调查发现。激活 Amazon ECR 扫描后,会将 Amazon Inspector 设置为私有注册表的首选扫描服务。

注意

Amazon ECR 使用注册策略向 Amazon 委托人授予权限。该委托人拥有致电 Amazon Inspect APIs or 进行扫描所需的权限。设置注册表策略的范围时,不得PutRegistryScanningConfiguration在中添加ecr:*操作或添加deny。在启用和禁用 Amazon ECR 扫描时,这会导致注册表级别出现错误。

通过基本扫描,可以将存储库配置为在推送时扫描,也可以执行手动扫描。使用增强扫描,可以在注册表级别扫描操作系统和编程语言程序包漏洞。要 side-by-side比较基本扫描和增强扫描之间的区别,请参阅 Amazon Inspector 常见问题解答

注意

基本扫描服务通过 Amazon ECR 提供并进行计费。有关更多信息,请参阅 Amazon Elastic Container Registry 定价。增强型扫描通过 Amazon Inspector 提供并进行计费。有关更多信息,请参阅 Amazon Inspector 定价

有关如何激活 Amazon ECR 扫描的信息,请参阅激活扫描类型。有关如何查看调查发现的信息,请参阅管理 Amazon Inspector 中的调查发现。有关如何在映像级别查看调查发现的信息,请参阅《Amazon Elastic Container Registry 用户指南》中的映像扫描。您也可以在 “ Amazon Web Services 服务 不适用于基本扫描” 中管理调查结果,例如Amazon Security Hub 和 Amazon EventBridge

本节提供了有关 Amazon ECR 扫描的信息,并介绍了如何为 Amazon ECR 存储库配置增强扫描。

Amazon ECR 扫描的扫描行为

首次激活 ECR 扫描且存储库配置为连续扫描时,Amazon Inspector 会检测到您在 30 天内推送或在过去 90 天内拉取的所有符合条件的映像。然后,Amazon Inspector 会扫描检测到的映像并将其扫描状态设置为 active。只要映像是在过去 90 天内(默认)或在您配置的 ECR 重新扫描持续时间内推送或拉取的,Amazon Inspector 就会继续监控这些映像。有关更多信息,请参阅配置 Amazon ECR 重新扫描持续时间

对于连续扫描,Amazon Inspector 会对以下情况中的容器映像启动新的漏洞扫描:

  • 每当推送新的容器映像时。

  • 每当 Amazon Inspector 在其数据库中添加新的常见脆弱性和风险 (CVE) 项目,并且 CVE 与该容器映像相关时(仅限持续扫描)。

如果您将存储库配置为推送扫描,则只有在推送映像时才会对其进行扫描。

您可以通过账户管理页面的容器映像选项卡或使用 ListCoverage API 查看上次检查容器映像是否存在漏洞的时间。发生以下事件时,Amazon Inspector 会更新 Amazon ECR 映像的上次扫描时间字段:

  • Amazon Inspector 完成对容器映像的初始扫描时。

  • 由于 Amazon Inspector 数据库中添加了影响该容器映像的新的常见脆弱性和风险 (CVE) 项目,因此 Amazon Inspector 重新扫描容器映像时。

将容器镜像映射到正在运行的容器

Amazon Inspector 通过将容器映像映射到亚马逊弹性容器服务 (Amazon ECS) 和亚马逊 Elastic Kubernetes Service(亚马逊 EKS)上正在运行的容器,从而提供全面的容器安全管理。这些映射可以深入了解正在运行的容器上映像的漏洞。

借助此功能,您可以根据运营风险确定补救工作的优先顺序,并保持整个容器生态系统的安全覆盖范围。您可以监控当前正在使用的容器映像,以及过去 24 小时内上次在 Amazon ECS 或 Amazon EKS 集群上使用容器映像的时间。这些信息将在您的调查结果中通过 Amazon Inspector 控制台在容器图像发现的详细信息屏幕上显示,并通过ecrImageInUseCountecrImageLastInUseAt筛选器通过 Amazon Inspector API 提供。

注意

当您激活 Amazon ECR 扫描并配置存储库以进行持续扫描时,这些数据会自动发送到 Amazon ECR 调查结果中。必须在 Amazon ECR 存储库级别配置持续扫描。有关更多信息,请参阅《Amazon 弹性容器注册表用户指南》中的增强扫描

您也可以根据集群中的容器镜像的 last-in-use日期重新扫描它们。

支持的操作系统和媒体类型

有关支持的操作系统的信息,请参阅支持的操作系统:使用 Amazon Inspector 执行 Amazon ECR 扫描

Amazon Inspector 对 Amazon ECR 存储库的扫描涵盖以下支持的媒体类型:

图像清单

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

图像配置

  • "application/vnd.docker.container.image.v1+json"

  • "application/vnd.oci.image.config.v1+json"

图像层

  • "application/vnd.docker.image.rootfs.diff.tar"

  • "application/vnd.docker.image.rootfs.diff.tar.gzip"

  • "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"

  • "application/vnd.oci.image.layer.v1.tar"

  • "application/vnd.oci.image.layer.v1.tar+gzip"

  • "application/vnd.oci.image.layer.v1.tar+zstd"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar"

  • "application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"

注意

Amazon Inspector 不支持用于扫描亚马逊 ECR 存储库的"application/vnd.docker.distribution.manifest.list.v2+json"媒体类型。