Menandatangani gambar yang disimpan dalam repositori pribadi Amazon ECR

Amazon ECR terintegrasi dengan AWS Signer untuk menyediakan cara bagi Anda untuk menandatangani gambar kontainer Anda. Anda dapat menyimpan gambar kontainer dan tanda tangan di repositori pribadi Anda.

Pertimbangan

Berikut ini harus dipertimbangkan saat menggunakan penandatanganan gambar Amazon ECR.

• Tanda tangan yang disimpan di repositori Anda dihitung terhadap kuota layanan untuk jumlah maksimum gambar per repositori. Untuk informasi selengkapnya, lihat Kuota layanan Amazon ECR.

• Ketika artefak referensi hadir dalam repositori, kebijakan siklus hidup Amazon ECR akan secara otomatis membersihkan artefak tersebut dalam waktu 24 jam setelah penghapusan gambar subjek.

Prasyarat

Sebelum Anda mulai, Prasyarat berikut harus dipenuhi.

• Instal dan konfigurasikan versi terbaru dari file AWS CLI. Untuk informasi selengkapnya, lihat Menginstal atau memperbarui versi terbaru dari Panduan AWS Command Line Interface Pengguna. AWS CLI

• Instal CLI Notasi dan plugin untuk AWS Signer Notasi. Untuk informasi selengkapnya, lihat Prasyarat untuk menandatangani gambar kontainer di Panduan Pengembang.AWS Signer

• Miliki gambar kontainer yang disimpan di repositori pribadi Amazon ECR untuk ditandatangani. Untuk informasi selengkapnya, lihat Mendorong gambar ke repositori pribadi Amazon ECR.

Konfigurasikan otentikasi untuk klien Notaris

Sebelum Anda dapat membuat tanda tangan menggunakan CLI Notasi, Anda harus mengonfigurasi klien sehingga dapat mengautentikasi ke Amazon ECR. Jika Anda menginstal Docker pada host yang sama tempat Anda menginstal klien Notation, maka Notation akan menggunakan kembali metode otentikasi yang sama yang Anda gunakan untuk klien Docker. Docker login dan logout perintah akan memungkinkan Notasi sign dan verify perintah untuk menggunakan kredensyal yang sama, dan Anda tidak perlu mengautentikasi Notasi secara terpisah. Untuk informasi selengkapnya tentang mengonfigurasi klien Notasi Anda untuk otentikasi, lihat Mengautentikasi dengan pendaftar yang sesuai dengan OCI di dokumentasi Proyek Notaris.

Jika Anda tidak menggunakan Docker atau alat lain yang menggunakan kredensi Docker, sebaiknya gunakan Amazon ECR Docker Credential Helper sebagai toko kredensi Anda. Untuk informasi selengkapnya tentang cara menginstal dan mengonfigurasi Amazon ECR Credential Helper, lihat Amazon ECR Docker Credential Helper.

Menandatangani gambar

Langkah-langkah berikut dapat digunakan untuk membuat sumber daya yang diperlukan untuk menandatangani gambar kontainer dan menyimpan tanda tangan di repositori pribadi Amazon ECR. Notasi menandatangani gambar menggunakan intisari.

Untuk menandatangani gambar

1. Buat profil AWS Signer penandatanganan menggunakan platform Notation-OCI-SHA384-ECDSA penandatanganan. Anda dapat secara opsional menentukan periode validitas tanda tangan menggunakan parameter. --signature-validity-period Nilai ini dapat ditentukan menggunakanDAYS,MONTHS, atauYEARS. Jika tidak ada periode validitas yang ditentukan, nilai default 135 bulan digunakan.

   aws signer put-signing-profile --profile-name ecr_signing_profile --platform-id Notation-OCI-SHA384-ECDSA

   catatan

   Nama profil penandatanganan hanya mendukung karakter alfanumerik dan garis bawah (). _

2. Otentikasi klien Notasi ke registri default Anda. Contoh berikut menggunakan AWS CLI untuk mengautentikasi CLI Notasi ke registri pribadi Amazon ECR.

   aws ecr get-login-password --region region | notation login --username AWS --password-stdin 111122223333.dkr.ecr.region.amazonaws.com

3. Gunakan CLI Notasi untuk menandatangani gambar, menentukan gambar menggunakan nama repositori dan intisari SHA. Ini membuat tanda tangan dan mendorongnya ke repositori pribadi Amazon ECR yang sama dengan gambar yang ditandatangani.

   Dalam contoh berikut, kami menandatangani gambar di curl repositori dengan SHA digest. sha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE

   notation sign 111122223333.dkr.ecr.region.amazonaws.com/curl@sha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE --plugin "com.amazonaws.signer.notation.plugin" --id "arn:aws:signer:region:111122223333:/signing-profiles/ecrSigningProfileName"

Langkah selanjutnya

Setelah menandatangani gambar kontainer, Anda dapat memverifikasi tanda tangan secara lokal. Untuk petunjuk tentang memverifikasi gambar, lihat Memverifikasi gambar secara lokal setelah masuk ke Panduan AWS Signer Pengembang.