Amazon Inspector로 Amazon Elastic Container Registry 컨테이너 이미지 스캔 - Amazon Inspector
Amazon 스캔을 위한 ECR 스캔 동작지원되는 운영 체제 및 미디어 유형

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector로 Amazon Elastic Container Registry 컨테이너 이미지 스캔

Amazon Inspector는 Amazon Elastic Container Registry에 저장된 컨테이너 이미지를 스캔하여 소프트웨어 취약성을 확인하여 패키지 취약성 조사 결과를 생성합니다. Amazon ECR 스캔을 활성화하면 Amazon Inspector를 프라이빗 레지스트리에 대한 기본 스캔 서비스로 설정합니다.

기본 스캔을 사용하면 푸시 시 스캔하거나 수동 스캔을 수행하도록 리포지토리를 구성할 수 있습니다. 향상된 스캔을 사용하면 레지스트리 수준에서 운영 체제 및 프로그래밍 언어 패키지 취약성을 스캔할 수 있습니다. 기본 스캔과 향상된 스캔의 차이점을 side-by-side 비교하려면 Amazon Inspector FAQ를 참조하세요.

참고

기본 스캔은 Amazon 를 통해 제공 및 청구됩니다ECR. 자세한 내용은 Amazon Elastic Container Registry 요금 섹션을 참조하세요. 향상된 스캔은 Amazon Inspector 를 통해 제공 및 청구됩니다. 자세한 내용은 Amazon Inspector 요금을 참조하세요.

Amazon ECR 스캔을 활성화하는 방법에 대한 자세한 내용은 섹션을 참조하세요스캔 유형 활성화. 조사 결과를 보는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon Inspector에서 결과 관리. 이미지 수준에서 조사 결과를 보는 방법에 대한 자세한 내용은 Amazon Elastic Container Registry 사용 설명서이미지 스캔을 참조하세요. AWS Security Hub 및 Amazon EventBridge 와 같은 기본 스캔에 사용할 수 AWS 서비스 없는 의 조사 결과를 관리할 수도 있습니다.

이 섹션에서는 Amazon ECR 스캔에 대한 정보를 제공하고 Amazon ECR리포지토리에 대한 향상된 스캔을 구성하는 방법을 설명합니다.

Amazon 스캔을 위한 ECR 스캔 동작

ECR 스캔을 처음 활성화하고 리포지토리가 연속 스캔을 위해 구성된 경우 Amazon Inspector는 30일 이내에 푸시했거나 지난 90일 이내에 가져온 모든 적격 이미지를 감지합니다. 그런 다음 Amazon Inspector는 감지된 이미지를 스캔하고 스캔 상태를 로 설정합니다active. Amazon Inspector는 지난 90일(기본값) 또는 구성한 ECR 재스캔 기간 내에 푸시되거나 풀링된 이미지를 계속 모니터링합니다. 자세한 내용은 Amazon ECR 재스캔 기간 구성을 참조하세요.

연속 스캔을 위해 Amazon Inspector는 다음과 같은 상황에서 컨테이너 이미지의 새로운 취약성 스캔을 시작합니다.

  • 새 컨테이너 이미지가 푸시될 때마다

  • Amazon InspectorCVE가 데이터베이스에 새로운 공통 취약성 및 노출(CVE) 항목을 추가할 때마다 해당 컨테이너 이미지와 관련이 있습니다(연속 스캔만 해당).

푸시 스캔 시 리포지토리를 로 구성하면 이미지를 푸시할 때만 이미지가 스캔됩니다.

계정 관리 페이지의 컨테이너 이미지 탭에서 또는 ListCoverage API. Amazon Inspector는 다음 이벤트에 대한 응답으로 Amazon ECR 이미지의 필드에서 마지막으로 스캔된 를 업데이트합니다.

  • Amazon Inspector에서 컨테이너 이미지의 첫 번째 스캔을 완료한 경우

  • Amazon Inspector가 컨테이너 이미지에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE) 항목이 Amazon Inspector 데이터베이스에 추가되어 컨테이너 이미지를 다시 스캔하는 경우.

지원되는 운영 체제 및 미디어 유형

지원되는 운영 체제에 대한 자세한 내용은 지원되는 운영 체제: Amazon Inspector를 사용한 Amazon ECR 스캔 섹션을 참조하세요.

Amazon ECR 리포지토리의 Amazon Inspector 스캔은 다음과 같은 지원되는 미디어 유형을 포함합니다.

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    참고

    스크래치 이미지 및 "application/vnd.docker.distribution.manifest.list.v2+json" 이미지는 지원되지 않습니다.