[終了予告] Amazon ECRの古い基本スキャン(CLAIR)が2025年10月1日でサポート終了します

しばたです。

2024年11月15日ごろにAWSから個別のAmazon ECR利用者向けにAmazon ECRの古い基本スキャン(CLAIR)が2025年10月1日でサポート終了する旨の通知がされています。
通知の詳細はマネジメントコンソール等でご確認ください。

私の検証用AWSアカウントにも通知が来ており、ちょっと初見で分かりにくいところがあったので本記事で解説したいと思います。

どういうことか？

ECRのプライベートリポジトリに対するイメージスキャンには「基本スキャン」と「拡張スキャン」の二種類あり、さらに「基本スキャン」に新・旧2バージョン存在します。
基本スキャンの新バージョンは今年の8月にGAしており、その詳細は以下の記事で確認できます。

https://dev.classmethod.jp/articles/new-version-amazon-ecr-basic-scanning/

簡単に新旧を比較すると

• 旧基本スキャン
  • バージョン名 : CLAIR
  • 方式 : OSSのClairを利用したスキャンを実施
• 新基本スキャン
  • バージョン名 : AWS_NATIVE
  • 方式 : AWS独自方式によるスキャンを実施

という感じです。

今回この旧基本スキャン(CLAIR)のサポートが2025年10月1日で終了し、新バージョン(AWS_NATIVE)を使う形になります。
あくまで基本スキャンの話であり拡張スキャンは関係しないのでご注意ください。

利用者がすべきこと

AWSの通知ではサポート終了の意味が「利用不可になる (自動的に新バージョンに移行される)」のか「利用可能だが結果を保証しない」のか明言されていません。
これまでにあった類似の通知を見る限りでは前者の予感がします。

単純にイメージスキャンして終わりという話であればサポート終了まで放置しても大きな問題にならないと思いますが、スキャン結果を取得して何らかの連携を行っている場合は早めに切り替えて動作確認をしておくと良いでしょう。

現在の設定を確認するにはマネジメントコンソールからECRを開き、左ペインの「Private registry」→「Features & Settings」→「Scannig」を選んで設定画面から確認するか

旧バージョン(CLAIR)を使っている場合は警告が出る

AWS CLIからaws ecr get-account-settingコマンドを使って確認することができます。
AWS CloudShell等で以下のコマンドを実行して結果のvalueがCLAIRだと旧バージョンを使っています。

# 現在利用している基本スキャンのバージョンを取得 : CLAIR だと旧バージョン
$ aws ecr get-account-setting --name BASIC_SCAN_TYPE_VERSION
{
    "name": "BASIC_SCAN_TYPE_VERSION",
    "value": "CLAIR"
}

設定画面の警告にある「Opt in (recommended)」をクリックすれば新バージョンに切り替えることが出来ます。

新バージョンに切り替えた後の画面

新バージョンを使っている場合aws ecr get-account-settingコマンドの結果はAWS_NATIVEが返されます。

# 現在利用している基本スキャンのバージョンを取得 : AWS_NATIVE だと新バージョン
$ aws ecr get-account-setting --name BASIC_SCAN_TYPE_VERSION
{
    "name": "BASIC_SCAN_TYPE_VERSION",
    "value": "AWS_NATIVE"
}

ちなみにAWS CLIからaws ecr put-account-settingコマンドを使ってバージョンを切り替えることも可能です。

# 現在利用している基本スキャンのバージョンを AWS_NATIVE に更新
$ aws ecr put-account-setting --name BASIC_SCAN_TYPE_VERSION --value AWS_NATIVE
{
    "name": "BASIC_SCAN_TYPE_VERSION",
    "value": "AWS_NATIVE"
}

最後に

簡単ですが以上となります。

AWSとしては新バージョン(AWS_NATIVE)の利用を推奨してますので早めに切り替えておくと良いでしょう。