署名の検証

コンテナイメージに署名したら、署名を検証して、イメージが改ざんされておらず、信頼できるソースからのものであることを確認できます。Amazon ECR は、署名を検証するためのいくつかの方法をサポートしています。

Amazon EKS によるマネージド検証

Amazon EKS は、署名の自動検証のためのネイティブ統合を提供します。Amazon EKS クラスターで署名検証を設定すると、コンテナの実行を許可する前に、サービスによってイメージ署名が自動的に検証されます。署名検証の設定の詳細については、「Amazon EKS ユーザーガイド」の「デプロイ中にコンテナイメージの署名を検証する」を参照してください。

Amazon ECS 用の Lambda アドミッションコントローラー

Amazon ECS には、サービスのデプロイ中にカスタムロジックを実行できるようにするサービスライフサイクルフックが用意されています。これらのフックは、デプロイプロセスの特定の時点で AWS Lambda 関数をトリガーできるため、サービスの開始を許可する前にコンテナイメージの署名を検証できます。詳細については、「 AWS Signer デベロッパーガイド」の「Amazon ECS のコンテナイメージ署名の検証」を参照してください。

Notation CLI による手動検証

Notation CLI を使用して署名を手動で検証できます。この方法では、ローカルマシンまたは検証環境に Notation CLI をインストールして設定する必要があります。Notation CLI を使用してイメージを検証する詳細な手順については、「 AWS Signer デベロッパーガイド」の「署名後にローカルでイメージを検証する」を参照してください。

Notation クライアントの認証を設定する

Notation CLI を使用して手動署名または署名を手動で検証する場合は、Amazon ECR に対して認証できるように Notation クライアントを設定する必要があります。Notation クライアントをインストールしたのと同じホストに Docker がインストールされている場合、Notation では Docker クライアントで使用されるのと同じ認証方法が再利用されます。Docker コマンドloginと logout コマンドでは、Notation コマンドsignと verify コマンドが同じ認証情報を使用でき、Notation を個別に認証する必要はありません。Notation クライアントの認証設定の詳細については、Notary Project ドキュメントの「Authenticate with OCI-compliant registries」を参照してください。

Docker や Docker 認証情報を使用するその他のツールを使用していない場合は、認証情報ストアとして Amazon ECR Docker 認証情報ヘルパーを使用することをお勧めします。Amazon ECR 認証情報ヘルパーのインストールと設定方法の詳細については、「Amazon ECR Docker 認証情報ヘルパー」を参照してください。