Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Signature d'une image stockée dans un référentiel privé Amazon ECR

PDF
RSS
Mode de mise au point
Signature d'une image stockée dans un référentiel privé Amazon ECR - Amazon ECR
ConsidérationsPrérequisConfiguration de l'authentification pour le client NotarySignature d'une imageÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon ECR s'intègre AWS Signer pour vous permettre de signer les images de vos conteneurs. Vous pouvez stocker à la fois les images de vos conteneurs et les signatures dans vos référentiels privés.

Considérations

Les informations suivantes doivent être prises en compte lors de l'utilisation de la signature d'images Amazon ECR.

  • Les signatures stockées dans votre référentiel sont prises en compte dans les quotas de service correspondant au nombre maximum d'images par référentiel. Pour de plus amples informations, veuillez consulter Service Quotas Amazon ECR..

  • Lorsque des artefacts de référence sont présents dans un référentiel, les politiques de cycle de vie d'Amazon ECR nettoient automatiquement ces artefacts dans les 24 heures suivant la suppression de l'image d'objet.

Prérequis

Avant de commencer, les prérequis suivants doivent être respectés.

Configuration de l'authentification pour le client Notary

Avant de pouvoir créer une signature à l'aide de la CLI Notation, vous devez configurer le client afin qu'il puisse s'authentifier auprès d'Amazon ECR. Si Docker est installé sur le même hôte que le client Notation, ce dernier réutilisera la même méthode d'authentification que celle utilisée pour le client Docker. Les commandes Docker login et logout permettront aux commandes Notation sign et verify d'utiliser ces mêmes informations d'identification, sans que vous ayez à authentifier Notation séparément. Pour plus d'informations sur la configuration de votre client Notation pour l'authentification, voir Authentifier avec des registres conformes à l'OCI-OCI dans la documentation du projet Notary.

Si vous n'utilisez pas Docker ou un autre outil qui utilise des informations d'identification Docker, nous vous recommandons d'utiliser l'assistant des informations d'identification Amazon ECR Docker comme magasin d'informations d'identification. Pour plus d'informations sur l'installation et la configuration de l'assistant des informations d'identification Amazon ECR Docker, consultez la page Assistant des informations d'identification Amazon ECR Docker (français non garanti).

Signature d'une image

Les étapes suivantes peuvent être utilisées pour créer les ressources nécessaires pour signer une image de conteneur et stocker la signature dans un référentiel privé Amazon ECR. Notation signe les images à l'aide du hachage.

Pour signer une image

  1. Créez un profil de AWS Signer signature à l'aide de la plateforme de Notation-OCI-SHA384-ECDSA signature. Vous pouvez spécifier une période de validité de signature à l'aide du paramètre --signature-validity-period. Cette valeur peut être spécifiée à l'aide de DAYS, MONTHS ou YEARS. Si aucune période de validité n'est spécifiée, la valeur par défaut de 135 mois est utilisée.

    aws signer put-signing-profile --profile-name ecr_signing_profile --platform-id Notation-OCI-SHA384-ECDSA
    Note

    Le nom du profil de signature ne prend en charge que les caractères alphanumériques et le trait de soulignement (_).

  2. Authentifiez le client Notation auprès de votre registre par défaut. L'exemple suivant utilise le AWS CLI pour authentifier la CLI Notation auprès d'un registre privé Amazon ECR.

    aws ecr get-login-password --region region | notation login --username AWS --password-stdin 111122223333.dkr.ecr.region.amazonaws.com

  3. Utilisez l'interface de la ligne de commande Notation pour signer l'image, en spécifiant l'image à l'aide du nom du référentiel et du hachage SHA. Cela crée la signature et l'envoie vers le référentiel privé Amazon ECR dans lequel se trouve l'image qui est en train d'être signée.

    Dans l'exemple suivant, nous signons une image dans le référentiel curl avec le hachage SHA sha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE.

    notation sign 111122223333.dkr.ecr.region.amazonaws.com/curl@sha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE --plugin "com.amazonaws.signer.notation.plugin" --id "arn:aws:signer:region:111122223333:/signing-profiles/ecrSigningProfileName"

Étapes suivantes

Après avoir signé l'image de votre conteneur, vous pouvez vérifier la signature localement. Pour obtenir des instructions sur la vérification d'une image, voir Vérifier une image localement après signature dans le Guide du AWS Signer développeur.

Rubrique suivante :

Supprimer des artefacts

Rubrique précédente :

Pousser les Charts de Helm

Avez-vous besoin d’aide ?

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.