ECRの脆弱性対策
ECRには、コンテナイメージ内の脆弱性の特定をするイメージスキャンがある。
イメージスキャンは、以下2種類。
- ベーシックスキャン
- 拡張スキャン
| ベーシックスキャン | 拡張スキャン | |
|---|---|---|
| スキャン対象 | OS | OS プログラミング言語 |
| スキャンのタイミング | ECRへのプッシュ時 手動 |
ECRへのプッシュ時 自動連続 |
| スキャン内容 | 脆弱性情報 | 脆弱性情報 診断結果に基づく対応策の表示 修正バージョン |
| スキャン結果の確認方法 | ECRコンソール | Inspectorコンソール ECRコンソール SecurityHubコンソール |
| 料金 | 無料 | ECRでは料金発生しないが、Inspectorのコストがかかる [東京リージョンの場合] 1 か月あたりの Amazon ECR へのプッシュ時に最初にスキャンされたコンテナイメージ数:イメージごとに0.11USD 1 か月あたりの連続スキャン用に設定された Amazon ECR のコンテナイメージの自動再スキャンの数:リスキャンごとに 0.01USD |
以下リージョンは拡張スキャンの対象外
・中東 (UAE) (me-central-1)
・アジアパシフィック (ハイデラバード) (ap-south-2)
・イスラエル (テルアビブ) (il-central-1)
・アジアパシフィック (メルボルン) (ap-southeast-4)
・欧州 (スペイン) (eu-south-2)
ベーシックスキャン
プッシュ時にスキャンするように設定されていない場合、イメージスキャンを手動で開始できる。
イメージは 24 時間に 1 回スキャンでき、24 時間には、設定されている場合はプッシュ時の最初のスキャンと手動スキャンが含まれる。
拡張スキャン
Inspector が ECRリポジトリ内のイメージを継続的にスキャンする日数を選択し、変更できる。
デフォルト:イメージが削除されるまで(拡張スキャンが無効になるまで)
選択:デフォルト・30日間・180日間
参考