ECR の基本スキャンでスキャン方式を変更する方法を教えてください
2025.04.28困っていた内容
ECR の基本スキャンは、AWS ネイティブと Clair の2種類がある認識です。
設定されているスキャン方式を確認、変更する方法を教えてください
どう対応すればいいの?
Amazon ECR コンソールの場合はFeatures & SettingsのScanningから確認、変更します。
AWS CLI の場合はget-account-settingコマンドから確認し、put-account-settingコマンドで変更します。
Amazon ECR コンソールから確認、変更する場合
Amazon ECR コンソールの「Private registry」からFeatures & Settings、Scanningの順にアクセスします。
お客様は、以前のバージョンのベーシックスキャンを使用していますと表示された場合は、Clair が設定されています。
「オプトイン (推奨)」をクリックすると、AWS ネイティブに変更できます。
AWS ネイティブテクノロジーを利用する基本スキャンの改良バージョンを使用しています。と表示された場合は、AWS ネイティブが設定されています。
AWS CLIから確認、変更する場合
get-account-settingコマンドを実行して、現在の設定値を確認できます。
コマンド例
# コマンド例
aws ecr get-account-setting --name BASIC_SCAN_TYPE_VERSION
# 実行例(AWS ネイティブが設定)
$ aws ecr get-account-setting --name BASIC_SCAN_TYPE_VERSION
{
"name": "BASIC_SCAN_TYPE_VERSION",
"value": "AWS_NATIVE"
}
# 実行例(Clair が設定)
$ aws ecr get-account-setting --name BASIC_SCAN_TYPE_VERSION
{
"name": "BASIC_SCAN_TYPE_VERSION",
"value": "CLAIR"
}
put-account-settingコマンドで変更できます。
コマンド例
# コマンド例
aws ecr put-account-setting --name BASIC_SCAN_TYPE_VERSION --value 【新しい設定値】
# 実行例(AWS ネイティブに設定)
$ aws ecr put-account-setting --name BASIC_SCAN_TYPE_VERSION --value AWS_NATIVE
{
"name": "BASIC_SCAN_TYPE_VERSION",
"value": "AWS_NATIVE"
}
# 実行例(Clair に設定)
$ aws ecr put-account-setting --name BASIC_SCAN_TYPE_VERSION --value CLAIR
{
"name": "BASIC_SCAN_TYPE_VERSION",
"value": "CLAIR"
}
参考資料
Amazon ECR では、以前のスキャンテクノロジー CLAIR に戻すことを推奨していません。
- Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる - Amazon ECR
- get-account-setting — AWS CLI 2.27.2 Command Reference
- put-account-setting — AWS CLI 2.27.2 Command Reference
- [終了予告] Amazon ECRの古い基本スキャン(CLAIR)が2025年10月1日でサポート終了します | DevelopersIO
- [アップデート] Amazon ECR の新しいベーシックスキャン「AWS_NATIVE」が GA となったので使ってみた | DevelopersIO
