기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Inspector로 Amazon Elastic Container Registry 컨테이너 이미지 스캔
<a name="scanning-ecr"></a>

 Amazon Inspector는 Amazon Elastic Container Registry에 저장된 컨테이너 이미지에 소프트웨어 취약성이 있는지 스캔하여 [패키지 취약성 조사 결과](https://docs.aws.amazon.com/)를 생성합니다. Amazon ECR 스캔을 활성화할 때 Amazon Inspector를 프라이빗 레지스트리에 대한 기본 스캔 서비스로 설정하세요.

**참고**  
 Amazon ECR은 레지스트리 정책을 사용하여 AWS 보안 주체에 권한을 부여합니다. 이 위탁자는 스캔을 위해 Amazon Inspector API를 직접적으로 호출하는 데 필요한 권한을 가집니다. 레지스트리 정책의 범위를 설정할 때 `deny`에서 `ecr:*` 작업 또는 `PutRegistryScanningConfiguration`을 추가해서는 안 됩니다. 이로 인해 Amazon ECR에 대한 스캔을 활성화 및 비활성화할 때 레지스트리 수준에서 오류가 발생합니다.

 기본 스캔을 사용하면 푸시할 때 스캔하거나 수동 스캔을 수행하도록 리포지토리를 구성할 수 있습니다. 고급 스캔을 사용하면 레지스트리 수준에서 운영 체제 및 프로그래밍 언어 패키지 취약성을 스캔할 수 있습니다. 기본 스캔과 고급 스캔의 차이점을 나란히 비교하려면 [Amazon Inspector FAQ](https://aws.amazon.com/inspector/faqs/)를 참조하세요.

**참고**  
 기본 스캔은 Amazon ECR을 통해 제공되며 요금이 청구됩니다. 자세한 내용은 [Amazon Elastic Container Registry 요금](https://aws.amazon.com/ecr/pricing/)을 참조하세요. 고급 스캔은 Amazon Inspector를 통해 제공되며 요금이 청구됩니다. 자세한 내용은 [Amazon Inspector 요금](https://aws.amazon.com/inspector/pricing/)을 참조하세요.

 Amazon ECR 스캔을 활성화하는 자세한 방법은 [스캔 유형 활성화](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)를 참조하세요. 조사 결과를 보는 방법에 대한 자세한 내용은 [Amazon Inspector 조사 결과 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)를 참조하세요. 이미지 수준에서 Amazon ECR 조사 결과를 보는 방법에 대한 자세한 내용은 *Amazon Elastic Container Registry 사용 설명서*에서 [이미지 스캔](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)을 참조하세요. [AWS Security Hub CSPM 및 Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html)와 같은 기본 스캔에 사용할 수 AWS 서비스 없는를 사용하여 조사 결과를 관리할 수 있습니다.

 적용 범위 페이지 및 API를 통해 Amazon Inspector의 각 리포지토리에 대한 스캔 구성을 볼 수 있습니다. 그러나 기본 스캔과 연속 스캔의 구성 설정은 Amazon ECR에서만 수정할 수 있습니다. Amazon Inspector는 이러한 설정에 대한 가시성을 제공하지만 직접 수정 기능은 제공하지 않습니다. 자세한 내용은 *Amazon ECR 사용 설명서*의 [이미지 스캔에서 Amazon ECR의 소프트웨어 취약성](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)을 참조하세요.

 이 단원에서는 Amazon ECR 스캔에 대한 정보를 제공하고 Amazon ECR 리포지토리에 대해 고급 스캔을 구성하는 방법에 대해 설명합니다.

## Amazon ECR 스캔의 스캔 동작
<a name="ecr-scan-behavior"></a>

 Amazon ECR 스캔을 처음 활성화하면 Amazon Inspector는 지난 14일 이내에 푸시된 이미지를 스캔합니다. 그런 다음 Amazon Inspector는 이미지를 스캔하여 스캔 상태를 `ACTIVE`로 설정합니다. Amazon Inspector는 ECR에서 활성화된 이미지만 스캔합니다(`imageStatus` 필드는 ). `ACTIVE` 보관된 상태가 ECR(`imageStatus` 필드는 `ARCHIVED`)인 이미지는 Amazon Inspector에서 스캔하지 않습니다.

 연속 스캔이 활성화된 경우 Amazon Inspector는 14일(기본값) 이내에 푸시되었거나 마지막 사용 날짜가 14일(기본값) 이내이거나, 구성된 재스캔 기간 내에 이미지가 스캔되는 한 이미지를 모니터링합니다. 2025년 5월 16일 이전에 생성된 Amazon Inspector 계정의 경우, 기본 구성은 지난 90일 이내에 푸시되거나 가져온 이미지를 다시 스캔하여 모니터링하는 것입니다. 자세한 내용은 [Amazon ECR 재스캔 기간 구성](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)을 참조하세요.

연속 스캔을 위해 Amazon Inspector는 다음과 같은 경우에 컨테이너 이미지의 새로운 취약성 스캔을 시작합니다.
+ 새 컨테이너 이미지가 푸시될 때마다
+ Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 해당 컨테이너 이미지와 관련이 있을 때마다(연속 스캔만 해당)
+ 컨테이너 이미지가 ECR에서 아카이브됨에서 활성으로 전환될 때마다

푸시할 때 스캔하도록 저장소를 구성하면 이미지를 푸시할 때만 이미지가 스캔됩니다.

컨테이너 이미지의 취약성을 마지막으로 검사한 시기는 **계정 관리** 페이지의 **컨테이너 이미지** 탭에서 또는 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Amazon ECR 이미지의 **마지막 스캔 시간** 필드를 업데이트합니다.
+ Amazon Inspector에서 컨테이너 이미지의 첫 번째 스캔을 완료한 경우
+ 컨테이너 이미지에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE) 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 컨테이너 이미지를 다시 스캔하는 경우

### 보관된 ECR 컨테이너 이미지
<a name="archived-ecr-images"></a>

 Amazon Inspector는 ECR에 보관된 컨테이너 이미지를 스캔하지 않습니다(`imageStatus`는 `ARCHIVED`). ECR의 활성 이미지가 아카이브로 전환되면 Amazon Inspector는 자동으로 조사 결과를 닫은 다음 3일 후에 조사 결과를 삭제합니다. 보관된 컨테이너 이미지가 ECR에서 활성으로 전환되면 Amazon Inspector가 새 스캔을 트리거합니다.

## 실행 중인 컨테이너에 컨테이너 이미지 매핑
<a name="ecr-mapping-container-images"></a>

 Amazon Inspector는 Amazon Elastic Container Service(Amazon ECS) 및 Amazon Elastic Kubernetes Service(Amazon EKS)에서 실행 중인 컨테이너에 컨테이너 이미지를 매핑하여 포괄적인 컨테이너 보안 관리를 제공합니다. 이러한 매핑은 실행 중인 컨테이너의 이미지 취약성에 대한 인사이트를 제공합니다.

**참고**  
 관리형 정책 `AWSReadOnlyAccess`만으로는 Amazon ECR 이미지와 실행 중인 컨테이너 간의 매핑을 볼 수 있는 충분한 권한을 제공하지 않습니다. 컨테이너 이미지 매핑 정보를 보려면 `AWSReadOnlyAccess` 및 `AWSInspector2ReadOnlyAccess` 관리형 정책이 모두 필요합니다.

 운영 위험을 기반으로 문제 해결 작업의 우선순위를 정하고 전체 컨테이너 에코시스템에서 보안 범위를 유지할 수 있습니다. 현재 사용 중인 컨테이너 이미지 수와 지난 24시간 동안 Amazon ECS 또는 Amazon EKS 클러스터에서 마지막으로 사용된 컨테이너 이미지를 볼 수 있습니다. 배포된 Amazon ECS 작업 및 Amazon EKS 포드 수를 볼 수도 있습니다. 이 정보는 컨테이너 이미지 조사 결과에 대한 세부 정보 화면의 Amazon Inspector 콘솔과 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) 데이터 유형에 대한 `ecrImageInUseCount` 및 `ecrImageLastInUseAt` 필터에서 찾을 수 있습니다. 새 컨테이너 이미지 또는 계정의 경우 데이터를 사용할 수 있는 데 최대 36시간이 걸릴 수 있습니다. 그런 다음이 데이터는 24시간마다 한 번씩 업데이트됩니다. 자세한 내용은 [Amazon Inspector 조사 결과 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) 및 [Amazon Inspector 조사 결과에 대한 세부 정보 보기](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html)를 참조하세요.

**참고**  
 이 데이터는 Amazon ECR 스캔을 활성화하고 연속 스캔을 위해 리포지토리를 구성할 때 Amazon ECR 조사 결과로 자동으로 전송됩니다. 연속 스캔은 Amazon ECR 리포지토리 수준에서 구성해야 합니다. 자세한 내용은 *Amazon Elastic Container Registry 사용 설명서*의 [고급 스캔](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)을 참조하세요.

 마지막 사용 날짜를 기준으로 클러스터에서 [컨테이너 이미지를 다시 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)할 수도 있습니다.

 이 특성은 Amazon ECS 및 Amazon EKS를 사용하는 Fargate에서도 지원됩니다.

## 지원되는 운영 체제 및 미디어 유형
<a name="ecr-supported-media"></a>

 지원되는 운영 체제에 대한 자세한 내용은 [지원되는 운영 체제: Amazon Inspector를 사용한 Amazon ECR 스캔](supported.md#supported-os-ecr) 섹션을 참조하세요.

 Amazon Inspector의 Amazon ECR 리포지토리 스캔에서 지원되는 미디어 유형은 다음과 같습니다.

**이미지 매니페스트**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**이미지 구성**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**이미지 계층**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**참고**  
 Amazon Inspector는 Amazon ECR 리포지토리 스캔을 위한 `"application/vnd.docker.distribution.manifest.list.v2+json"` 미디어 유형을 지원하지 않습니다.