將 Docker Scout 與 Amazon ECR 整合

目錄

將 Docker Scout 與 Amazon Elastic Container Registry (ECR) 整合,讓您可以檢視 ECR 儲存庫中託管的映像檔的映像檔洞察。將 Docker Scout 與 ECR 整合並為儲存庫啟用 Docker Scout 後,將映像檔推送到儲存庫會自動觸發映像檔分析。您可以使用 Docker Scout 儀表板或 docker scout CLI 命令檢視映像檔洞察。

運作方式

為了協助您將 Docker Scout 與 ECR 整合,您可以使用 CloudFormation 堆疊範本來建立和設定將 Docker Scout 與 ECR 登錄檔整合所需的 AWS 資源。如需 AWS 資源的詳細資訊,請參閱CloudFormation 堆疊範本

下圖顯示 Docker Scout ECR 整合的運作方式。

How the ECR integration works

整合後,Docker Scout 會自動提取並分析您推送到 ECR 登錄檔的映像檔。關於您映像檔的後設資料會儲存在 Docker Scout 平台上,但 Docker Scout 不會儲存容器映像檔本身。如需 Docker Scout 如何處理映像檔資料的詳細資訊,請參閱資料處理

CloudFormation 堆疊範本

下表說明設定資源。

**注意**

建立這些資源會在 AWS 帳戶上產生少量經常性費用。表格中的「**費用**」欄代表整合每天推送 100 個映像檔的 ECR 登錄檔時,資源的估計每月費用。

此外,當 Docker Scout 從 ECR 提取映像檔時,也會產生輸出費用。輸出費用約為每 GB 0.09 美元。

資源類型資源名稱說明費用
AWS::SNSTopic::TopicSNSTopic用於在建立 AWS 資源時通知 Docker Scout 的 SNS 主題。免費
AWS::SNS::TopicPolicyTopicPolicy定義初始設定通知的主題。免費
AWS::SecretsManager::SecretScoutAPICredentials儲存 EventBridge 用於將事件觸發至 Scout 的憑證。$0.42
AWS::Events::ApiDestinationApiDestination設定 EventBridge 與 Docker Scout 的連線,以傳送 ECR 推送和刪除事件。$0.01
AWS::Events::ConnectionConnectionEventBridge 與 Scout 的連線憑證。免費
AWS::Events::RuleDockerScoutEcrRule定義將 ECR 推送和刪除傳送至 Scout 的規則。免費
AWS::Events::RuleDockerScoutRepoDeletedRule定義將 ECR 儲存庫刪除傳送至 Scout 的規則。免費
AWS::IAM::RoleInvokeApiRole授予事件存取 ApiDestination 的內部角色。免費
AWS::IAM::RoleAssumeRoleEcrAccess此角色具有存取 ScoutAPICredentials 的權限,用於設定 Docker Scout 整合。免費

整合您的第一個登錄檔

在您的 AWS 帳戶中建立 CloudFormation 堆疊,以啟用 Docker Scout 整合。

先決條件

  • 您必須具有存取 AWS 帳戶的權限,並且具有建立資源的權限。
  • 您必須是 Docker 組織的擁有者。

若要建立堆疊

  1. 前往 Docker Scout 控制面板上的 ECR 整合頁面

  2. 選擇「在 AWS 上建立」按鈕。

    這會在新瀏覽器分頁中開啟 AWS CloudFormation 主控台的「建立堆疊」精靈。如果您尚未登入 AWS,您會先被重新導向到登入頁面。

    如果按鈕呈現灰色,表示您在 Docker 組織中缺少必要的權限。

  3. 按照「建立堆疊」精靈中的步驟操作,直到結束。選擇您要整合的 AWS 區域。透過建立資源來完成程序。

    精靈中的欄位會由 CloudFormation 範本預先填入,因此您不需要編輯任何欄位。

  4. 建立資源後(CloudFormation 狀態在 AWS 主控台中顯示為 `CREATE_COMPLETE`),請返回 Docker Scout 控制面板中的 ECR 整合頁面。

    「已整合的登錄檔」清單會顯示您剛整合的 ECR 登錄檔的帳戶 ID 和區域。如果成功,整合狀態會顯示為「已連線」。

ECR 整合現已啟用。要讓 Docker Scout 開始分析登錄檔中的映像檔,您需要在 儲存庫設定 中為每個儲存庫啟用它。

啟用儲存庫後,您推送的映像檔將會由 Docker Scout 進行分析。分析結果會顯示在 Docker Scout 控制面板中。如果您的儲存庫已包含映像檔,Docker Scout 會自動提取並分析最新的映像檔版本。

整合其他登錄檔

要新增其他登錄檔

  1. 前往 Docker Scout 控制面板上的 ECR 整合頁面

  2. 選擇清單頂部的「新增」按鈕。

  3. 完成建立 AWS 資源的步驟。

  4. 建立資源後,請返回 Docker Scout 控制面板中的 ECR 整合頁面。

    「已整合的登錄檔」清單會顯示您剛整合的 ECR 登錄檔的帳戶 ID 和區域。如果成功,整合狀態會顯示為「已連線」。

接下來,在 儲存庫設定移除整合

要移除已整合的 ECR 登錄檔,您必須是 Docker 組織的擁有者。

  1. 前往 Docker Scout 控制面板上的 ECR 整合頁面

  2. 在已整合登錄檔的清單中找到您要移除的登錄檔,然後選擇「動作」欄中的移除圖示。

    如果移除圖示已停用,表示您在 Docker 組織中缺少必要的權限。

  3. 在開啟的對話方塊中,選擇「移除」進行確認。

重要

從 Docker Scout 控制面板移除整合並不會移除您帳戶中的 AWS 資源。

在 Docker Scout 中移除整合後,請前往 AWS 主控台並刪除您要移除的整合的 **DockerScoutECRIntegration** CloudFormation 堆疊。

疑難排解

無法整合登錄檔

檢查 Docker Scout 控制面板中 ECR 整合頁面移除整合,然後重新建立它。

ECR 映像檔未顯示在儀表板中

如果 Docker Scout 控制面板中沒有顯示 ECR 映像檔的映像檔分析結果