翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン
Amazon Inspector は、Amazon Elastic Container Registry に保存されているコンテナイメージをスキャンしてソフトウェアの脆弱性がないかを調べ、パッケージ脆弱性の検出結果を生成します。Amazon ECR のスキャンをアクティブ化するときは、Amazon Inspector をプライベートレジストリの優先スキャンサービスとして設定します。
基本スキャンでは、プッシュ時にスキャンするか、手動スキャンを実行するようにレポジトリを設定できます。拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。基本スキャンと拡張スキャンの違いを並べて比較するには、「Amazon Inspector に関するよくある質問
注記
基本スキャンは Amazon ECR を通じて提供され、請求されます。詳細については、「Amazon Elastic Container Registry の料金
Amazon ECR スキャンをアクティブ化する方法については、「スキャンタイプをアクティブ化する」を参照してください。検出結果を表示する方法の詳細については、「Amazon Inspector での検出結果の管理」を参照してください。検出結果をイメージレベルで表示する方法の詳細については、「Amazon Elastic Container Registry ユーザーガイド」の「イメージスキャン」を参照してください。また、 AWS Security Hub や Amazon EventBridge など、基本スキャンに AWS のサービス 使用できない の検出結果を管理することもできます。
このセクションでは、Amazon ECR スキャンに関する情報と、Amazon ECR リポジトリの拡張スキャンを設定する方法について説明します。
Amazon ECR スキャンのスキャン動作
ECR スキャンを初めてアクティブ化し、リポジトリで継続的スキャンが設定されている場合、Amazon Inspector は 30 日以内にプッシュしたか、90 日以内にプルしたすべての対象イメージを検出します。次に、Amazon Inspector は検出されたイメージをスキャンし、そのスキャンステータスを active
に設定します。Amazon Inspector は、過去 90 日間 (デフォルト) または設定した ECR 再スキャン期間内にプッシュまたはプルされている限り、引き続きイメージをモニタリングします。詳細については、「Amazon ECR 再スキャン期間の設定」を参照してください。
継続的スキャンの場合、Amazon Inspector は、以下の状況でコンテナイメージの新しい脆弱性スキャンを開始します。
-
新しいコンテナイメージがプッシュされる場合。
-
Amazon Inspector がデータベースに新しい共通脆弱性識別子 (CVE) 項目を追加し、その CVE がそのコンテナイメージに関連する場合 (継続的スキャンのみ)。
リポジトリをプッシュスキャン用に設定した場合、イメージはプッシュ時にのみスキャンされます。
コンテナイメージの脆弱性の最終確認日は、[アカウント管理] ページの [コンテナイメージ] タブから、または ListCoverage API を使用して確認できます。Amazon Inspector は、以下のイベントに応じて Amazon ECR イメージの [最終スキャン日] フィールドを更新します。
-
Amazon Inspector がコンテナイメージの初回スキャンを完了した場合。
-
Amazon Inspector がコンテナイメージを再スキャンしたとき。これは、そのコンテナイメージに影響を与える新しい共通脆弱性識別子 (CVE) 項目が Amazon Inspector データベースに追加されたためです。
サポートされているオペレーティングシステムとメディアタイプ
サポートされるオペレーティングシステムの詳細については、「サポートされているオペレーティングシステム: Amazon Inspector による Amazon ECR スキャン」を参照してください。
Amazon ECR リポジトリの Amazon Inspector スキャンは、サポートされている以下のメディアタイプを対象としています。
-
"application/vnd.docker.distribution.manifest.v1+json"
-
"application/vnd.docker.distribution.manifest.v1+prettyjws"
-
"application/vnd.oci.image.manifest.v1+json"
-
"application/vnd.docker.distribution.manifest.v2+json"
注記
スクラッチイメージと
"application/vnd.docker.distribution.manifest.list.v2+json"
イメージはサポートされていません。