Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Firma di un'immagine archiviata in un archivio ECR privato Amazon
Amazon ECR si integra con AWS Signer per fornirti un modo per firmare le immagini dei contenitori. Puoi archiviare sia le immagini del container sia le firme nei tuoi repository privati.
Considerazioni
Quando si utilizza Amazon ECR Image Signing, è necessario considerare quanto segue.
-
Le firme archiviate nel repository vengono conteggiate nella quota di servizio relativa al numero massimo di immagini per repository. Per ulteriori informazioni, consulta Service Quotas di Amazon ECR..
-
Quando in un repository sono presenti elementi di riferimento, le policy del ECR ciclo di vita di Amazon elimineranno automaticamente tali artefatti entro 24 ore dall'eliminazione dell'immagine oggetto.
Prerequisiti
Prima di iniziare, verifica che siano stati soddisfatti i seguenti requisiti preliminari.
-
Installazione e configurazione della versione più recente di AWS CLI. Per ulteriori informazioni, consulta Installazione o aggiornamento della versione più recente della AWS CLI nella Guida per l'utente di AWS Command Line Interface .
-
Installa Notation e il plugin per Notation. CLI AWS Signer Per ulteriori informazioni, consulta Prerequisiti per la firma delle immagini di container nella Guida per gli sviluppatori di AWS Signer .
-
Fai in modo che un'immagine del contenitore venga archiviata in un archivio ECR privato Amazon da firmare. Per ulteriori informazioni, consulta Invio di un'immagine a un repository ECR privato Amazon.
Configurazione dell'autenticazione per il client Notary
Prima di poter creare una firma utilizzando la notazioneCLI, devi configurare il client in modo che possa autenticarsi su Amazon. ECR Se hai installato Docker sullo stesso host in cui installi il client Notation, Notation riutilizzerà lo stesso metodo di autenticazione utilizzato per il client Docker. Il comandi del Docker login
e logout
consentiranno ai comandi sign
e verify
di Notation di utilizzare le stesse credenziali e non sarà necessario autenticare Notation separatamente. Per ulteriori informazioni sulla configurazione del client Notation per l'autenticazione, consulta Authenticate with OCI -compliant registries
Se non utilizzi Docker o un altro strumento che utilizza le credenziali Docker, ti consigliamo di utilizzare Amazon ECR Docker Credential Helper come archivio di credenziali. Per ulteriori informazioni su come installare e configurare Amazon ECR Credential Helper, consulta Amazon ECR Docker
Firma di un'immagine
I seguenti passaggi possono essere utilizzati per creare le risorse necessarie per firmare un'immagine del contenitore e archiviare la firma in un repository ECR privato Amazon. Notation firma le immagini utilizzando il digest.
Per firmare un'immagine
-
Crea un profilo di AWS Signer firma utilizzando la piattaforma di
Notation-OCI-SHA384-ECDSA
firma. Facoltativamente, puoi specificare un periodo di validità della firma utilizzando il parametro--signature-validity-period
. Questo valore può essere specificato utilizzandoDAYS
,MONTHS
oYEARS
. Se non viene specificato alcun periodo di validità, sarà utilizzato il valore predefinito 135 mesi.aws signer put-signing-profile --profile-name
ecr_signing_profile
--platform-id Notation-OCI-SHA384-ECDSANota
Il nome del profilo di firma supporta solo caratteri alfanumerici e il trattino basso (
_
). -
Autentica il client Notation nel tuo registro predefinito. L'esempio seguente utilizza AWS CLI per autenticare la notazione in CLI un registro ECR privato Amazon.
aws ecr get-login-password --region
region
| notation login --username AWS --password-stdin111122223333
.dkr.ecr.region
.amazonaws.com -
Usa la notazione CLI per firmare l'immagine, specificando l'immagine utilizzando il nome del repository e il digest. SHA Questo crea la firma e la invia allo stesso repository ECR privato Amazon in cui si trova l'immagine da firmare.
Nell'esempio seguente, firmiamo un'immagine nel
curl
repository con digest. SHAsha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE
notation sign
111122223333
.dkr.ecr.region
.amazonaws.com/curl@sha256:ca78e5f730f9a789ef8c63bb55275ac12dfb9e8099e6EXAMPLE
--plugin "com.amazonaws.signer.notation.plugin" --id "arn:aws:signer:region
:111122223333
:/signing-profiles/ecrSigningProfileName
"
Passaggi successivi
Dopo aver firmato l'immagine del contenitore, puoi verificare la firma localmente. Per istruzioni sulla verifica di un'immagine, consulta Verificare un'immagine localmente dopo l'accesso alla Guida per gli AWS Signer sviluppatori.