本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon ECR 中掃描映像是否有作業系統和程式設計語言套件漏洞
Amazon ECR 增強型掃描已與 Amazon Inspector 整合,可為容器映像提供漏洞掃描。系統會掃描容器映像,檢查是否有作業系統和程式設計語言套件漏洞。您可以使用 Amazon ECR 和 Amazon Inspector 直接檢視掃描問題清單。如需有關 Amazon Inspector 的詳細資訊,請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 掃描容器映像。
透過增強型掃描,您可以選擇要將哪些儲存庫設定為自動連續掃描,以及將哪些儲存庫設定為推送時掃描。設定掃描篩選條件可完成此操作。
增強型掃描的注意事項
在啟用 Amazon ECR 增強型掃描之前,請考慮下列事項。
-
使用此功能不會從 Amazon ECR 產生任何額外成本,但是,掃描映像檔則會從 Amazon Inspector 產生成本。如需詳細資訊,請參閱 Amazon Inspector 定價
。 -
下列區域不支援增強型掃描:
-
中東 (阿拉伯聯合大公國) (
me-central-1) -
亞太區域 (海德拉巴) (
ap-south-2) -
以色列 (特拉維夫) (
il-central-1) -
亞太區域 (墨爾本) (
ap-southeast-4) -
歐洲 (西班牙) (
eu-south-2)
-
-
Amazon Inspector 支援掃描特定作業系統。如需完整清單,請參閱《Amazon Inspector 使用者指南》中的支援的作業系統:Amazon ECR 掃描。
-
Amazon Inspector 使用服務連結 IAM 角色,該角色提供為儲存庫提供增強型掃描所需的許可。為私有登錄檔開啟增強型掃描時,Amazon Inspector 會自動建立服務連結 IAM 角色。如需詳細資訊,請參閱《Amazon Inspector 使用者指南》中的使用 Amazon Inspector 的服務連結角色。
-
當您最初開啟私有登錄檔的增強型掃描時,Amazon Inspector 只會根據影像推送時間戳記,辨識過去 30 天內推送至 Amazon ECR 的影像,或在過去 90 天內提取的影像。較舊的映像會具有
SCAN_ELIGIBILITY_EXPIRED掃描狀態。如果您希望 Amazon Inspector 掃描這些映像,則必須將這些映像再次推送到儲存庫中。 -
開啟增強型掃描後,推送至 Amazon ECR 的所有映像都會在設定的持續時間內不斷掃描。根據預設,持續時間為生命週期。可使用 Amazon Inspector 主控台以完成設定。如需詳細資訊,請參閱變更 Amazon Inspector 中影像的增強掃描持續時間。
-
為 Amazon ECR 私有登錄檔開啟增強型掃描時,系統只會使用增強型掃描來掃描符合掃描篩選條件的所有儲存庫。不符合篩選條件的儲存庫都會具備
Off掃描頻率,且不會被掃描。不支援使用增強掃描的手動掃描。如需詳細資訊,請參閱篩選條件,以選擇在 Amazon ECR 中掃描哪些儲存庫。 -
如果您為「依據推送進行掃描」和「連續掃描」分別指定了篩選條件,發生同一儲存庫符合多個篩選條件的情況,則 Amazon ECR 會對該儲存庫強制優先執行「連續掃描」,而非「依據推送篩選條件進行掃描」。
-
開啟增強型掃描後,如果儲存庫的掃描頻率發生變更,Amazon ECR 會將事件傳送至 EventBridge。初始掃描完成且建立、更新或關閉映像掃描問題清單後,Amazon Inspector 會將事件發送到 EventBridge。
