As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Verificar imagens de contêiner do Amazon Elastic Container Registry com o Amazon Inspector
<a name="scanning-ecr"></a>

 O Amazon Inspector verifica as imagens de contêiner armazenadas no Amazon Elastic Container Registry em busca de vulnerabilidades de software para gerar [descobertas de vulnerabilidades em pacotes](https://docs.aws.amazon.com/). Ao ativar as verificações do Amazon ECR, você define o Amazon Inspector como seu serviço de verificação de preferência para seu registro privado. 

**nota**  
 O Amazon ECR usa uma política de registro para conceder permissões a um AWS diretor. Esse diretor tem as permissões necessárias para chamar o Amazon Inspector APIs para digitalização. Não adicione a ação `ecr:*` ou `PutRegistryScanningConfiguration` em `deny` ao definir o escopo da política de registro. Essa ação resulta em erros no nível do registro ao ativar e desativar a verificação para o Amazon ECR. 

 Com a verificação básica, você pode configurar seus repositórios para verificação durante o envio ou executar verificações manuais. Com a verificação avançada, você pode executar a verificação em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação no nível do registro. Para uma side-by-side comparação das diferenças entre o escaneamento básico e o aprimorado, consulte as perguntas frequentes do [Amazon Inspector](https://aws.amazon.com/inspector/faqs/). 

**nota**  
 A verificação básica é fornecida e cobrada pelo Amazon ECR. Para ter mais informações, consulte [Preços do Amazon Elastic Container Registry](https://aws.amazon.com/ecr/pricing/). A verificação avançada é fornecida e cobrada pelo Amazon Inspector. Para obter mais informações, consulte a [Definição de preço do Amazon Inspector](https://aws.amazon.com/inspector/pricing/). 

 Consulte informações sobre como ativar a verificação do Amazon ECR em [Ativar um tipo de verificação](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Para saber mais sobre como visualizar descobertas, consulte [Visualizar descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html). Consulte informações sobre como visualizar as descobertas no Amazon ECR no nível da imagem em [Verificação de imagens](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon Elastic Container Registry*. Você pode gerenciar descobertas usando o recurso Serviços da AWS não disponível para escaneamento básico, como [AWS Security Hub CSPM a Amazon EventBridge](https://docs.aws.amazon.com/inspector/latest/user/integrations.html). 

 Você pode visualizar a configuração de escaneamento para cada repositório no Amazon Inspector por meio das páginas de cobertura e. APIs No entanto, as configurações da verificação básica em relação à verificação contínua podem ser modificadas somente no Amazon ECR. O Amazon Inspector fornece visibilidade dessas configurações, mas não oferece recursos de modificação direta. Para saber mais, consulte [Verificar imagens em busca de vulnerabilidades de software no Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) no *Guia do usuário do Amazon ECR*. 

 Esta seção fornece informações sobre a verificação do Amazon ECR e descreve como configurar a verificação avançada para repositórios do Amazon ECR. 

## Comportamentos de verificação para o escaneamento do Amazon ECR
<a name="ecr-scan-behavior"></a>

 Ao ativar a verificação do Amazon ECR pela primeira vez, o Amazon Inspector detecta imagens enviadas nos últimos 14 dias. Depois, o Amazon Inspector verifica as imagens e define os status de verificação como `ACTIVE`. O Amazon Inspector só digitalizará imagens ativas no ECR (o `imageStatus` campo é). `ACTIVE` Imagens com status Arquivado no ECR (`imageStatus`campo é`ARCHIVED`) não são digitalizadas pelo Amazon Inspector. 

 Se a digitalização contínua estiver ativada, o Amazon Inspector monitora as imagens desde que elas tenham sido enviadas em 14 dias (por padrão), a last-in-use data esteja dentro de 14 dias (por padrão) ou as imagens sejam digitalizadas dentro da duração de nova digitalização configurada. Em relação a contas do Amazon Inspector criadas antes de 16 de maio de 2025, a configuração padrão é verificar novamente para monitorar imagens que tenham sido enviadas ou extraídas nos últimos 90 dias. Para ter mais informações, consulte [Configuring the Amazon ECR re-scan duration](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html). 

Para verificação contínua, o Amazon Inspector inicia novas verificações de vulnerabilidade de imagens de contêiner nas seguintes situações:
+ Sempre que uma nova imagem de contêiner é enviada.
+ Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para a imagem do contêiner (somente verificação contínua).
+ Sempre que uma imagem de contêiner é transferida de arquivada para ativa no ECR.

Se você configurar seu repositório para verificação no envio, as imagens serão verificadas somente quando você as enviar.

Você pode verificar quando uma imagem de contêiner foi verificada pela última vez em busca de vulnerabilidades na guia **Imagens de contêiner** da página de **Gerenciamento de contas** ou usando a API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html). O Amazon Inspector atualiza o campo **Última verificação em** de uma imagem do Amazon ECR em resposta aos seguintes eventos: 
+ Quando o Amazon Inspector conclui uma verificação inicial de uma imagem de contêiner.
+ Quando o Amazon Inspector verifica novamente uma imagem de contêiner porque um novo item de CVEs (vulnerabilidades e exposições comuns) que afeta essa imagem de contêiner foi adicionado ao banco de dados do Amazon Inspector.

### Imagens arquivadas de contêiner ECR
<a name="archived-ecr-images"></a>

 O Amazon Inspector não digitaliza imagens de contêineres arquivadas no ECR (is). `imageStatus` `ARCHIVED` Quando uma imagem ativa no ECR é transferida para arquivada, o Amazon Inspector fecha automaticamente as descobertas e as exclui após 3 dias. Se uma imagem de contêiner arquivada for transferida para ativa no ECR, o Amazon Inspector acionará uma nova digitalização. 

## Mapear imagens de contêiner para contêineres em execução
<a name="ecr-mapping-container-images"></a>

 O Amazon Inspector disponibiliza um gerenciamento de segurança abrangente ao mapear imagens de contêineres para contêineres em execução no Amazon Elastic Container Service (Amazon ECS) e Amazon Elastic Kubernetes Service (Amazon EKS). Esses mapeamentos trazem informações sobre vulnerabilidades de imagens em contêineres em execução. 

**nota**  
 A política gerenciada `AWSReadOnlyAccess` por si só não fornece permissões suficientes para visualizar o mapeamento entre as imagens do Amazon ECR e os contêineres em execução. Você precisa das políticas gerenciadas `AWSReadOnlyAccess` e `AWSInspector2ReadOnlyAccess` para visualizar as informações de mapeamento de imagens do contêiner. 

 Você pode priorizar os esforços de correção com base nos riscos operacionais e manter a cobertura de segurança em todo o ecossistema de contêineres. É possível ver quantas imagens de contêiner estão em uso no momento e quais imagens de contêiner foram usadas pela última vez em um cluster do Amazon ECS ou do Amazon EKS nas últimas 24 horas. Você também pode visualizar quantas tarefas do Amazon ECS e pods do Amazon EKS estão implantados. É possível consultar essas informações no console do Amazon Inspector na tela de detalhes das descobertas de imagens de contêineres e com os filtros `ecrImageInUseCount` e `ecrImageLastInUseAt` para o tipo de dados [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html). Pode levar até 36 horas para os dados estarem disponíveis em contas ou imagens de contêineres novas. Depois, esses dados são atualizados uma vez a cada 24 horas. Para saber mais, consulte [Visualizar as descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) e [Visualizar detalhes das descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html). 

**nota**  
 Esses dados são enviados automaticamente para as descobertas do Amazon ECR quando você ativa a verificação do Amazon ECR e configura o repositório para verificação contínua. A verificação contínua deve ser configurada no nível do repositório do Amazon ECR. Consulte mais informações em [Verificação avançada](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html) no *Guia do usuário do Amazon Elastic Container Registry*. 

 Você também pode [digitalizar novamente imagens de contêineres](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html) de clusters com base em suas last-in-use datas. 

 Esse recurso também é compatível com o Fargate com o Amazon ECS e o Amazon EKS. 

## Sistemas operacionais e tipos de mídia com suporte
<a name="ecr-supported-media"></a>

 Para obter informações sobre os sistemas operacionais com suporte, consulte [Sistemas operacionais com suporte: verificações do Amazon ECR com o Amazon Inspector](supported.md#supported-os-ecr). 

 As verificações do Amazon Inspector dos repositórios do Amazon ECR abrangem os seguintes tipos de mídia com suporte: 

**Manifesto da imagem**
+  `"application/vnd.oci.image.manifest.v1+json"` 
+  `"application/vnd.docker.distribution.manifest.v2+json"` 

**Configuração da imagem**
+  `"application/vnd.docker.container.image.v1+json"` 
+  `"application/vnd.oci.image.config.v1+json"` 

**Camadas da imagem**
+  `"application/vnd.docker.image.rootfs.diff.tar"` 
+  `"application/vnd.docker.image.rootfs.diff.tar.gzip"` 
+  `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar"` 
+  `"application/vnd.oci.image.layer.v1.tar+gzip"` 
+  `"application/vnd.oci.image.layer.v1.tar+zstd"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar"` 
+  `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"` 

**nota**  
 O Amazon Inspector não é compatível com o tipo de mídia `"application/vnd.docker.distribution.manifest.list.v2+json"` para a verificação dos repositórios do Amazon ECR.