Verwaltete Überprüfung mit Amazon EKS Lambda-Zugangscontroller für Amazon ECS Manuelle Überprüfung mit Notation CLI Konfigurieren Sie die Authentifizierung für den Notation-Client

Überprüfung der Signatur

Nachdem Sie Ihre Container-Images signiert haben, können Sie die Signaturen überprüfen, um sicherzustellen, dass die Bilder nicht manipuliert wurden und aus einer vertrauenswürdigen Quelle stammen. Amazon ECR unterstützt mehrere Methoden zur Überprüfung von Signaturen:

Verwaltete Überprüfung mit Amazon EKS

Amazon EKS bietet eine native Integration für die automatische Signaturüberprüfung. Wenn Sie die Signaturüberprüfung in Ihren Amazon EKS-Clustern konfigurieren, überprüft der Service automatisch Bildsignaturen, bevor Container ausgeführt werden können. Weitere Informationen zur Konfiguration der Signaturüberprüfung finden Sie unter Validieren von Container-Image-Signaturen während der Bereitstellung im Amazon EKS-Benutzerhandbuch.

Lambda-Zugangscontroller für Amazon ECS

Amazon ECS bietet Service Lifecycle-Hooks, mit denen Sie bei Servicebereitstellungen benutzerdefinierte Logik ausführen können. Diese Hooks können an bestimmten Punkten des Bereitstellungsprozesses AWS Lambda Funktionen auslösen, sodass Sie Container-Image-Signaturen validieren können, bevor Dienste gestartet werden können. Weitere Informationen finden Sie unter Verifizieren von Container-Image-Signaturen für Amazon ECS im AWS Signer Entwicklerhandbuch.

Manuelle Überprüfung mit Notation CLI

Sie können Signaturen manuell mit der Notation CLI überprüfen. Für diese Methode müssen Sie die Notation CLI auf Ihrem lokalen Computer oder in Ihrer Überprüfungsumgebung installieren und konfigurieren. Eine ausführliche Anleitung zur Verifizierung eines Images mit der Notation CLI finden Sie unter Lokales Überprüfen eines Images nach dem Signieren im AWS Signer Developer Guide.

Konfigurieren Sie die Authentifizierung für den Notation-Client

Wenn Sie manuelles Signieren verwenden oder Signaturen manuell mit der Notation CLI verifizieren, müssen Sie den Notation-Client so konfigurieren, dass er sich bei Amazon ECR authentifizieren kann. Wenn Sie Docker auf demselben Host installiert haben, auf dem Sie den Notation-Client installieren, verwendet Notation dieselbe Authentifizierungsmethode, die Sie für den Docker-Client verwenden. Der Docker login und die logout Befehle ermöglichen es der Notation sign und den verify Befehlen, dieselben Anmeldeinformationen zu verwenden, und Sie müssen Notation nicht separat authentifizieren. Weitere Informationen zur Konfiguration Ihres Notation-Clients für die Authentifizierung finden Sie unter Authentifizieren mit OCI-konformen Registern in der Notary Project-Dokumentation.

Wenn Sie Docker oder ein anderes Tool, das Docker-Anmeldeinformationen verwendet, nicht verwenden, empfehlen wir, das Amazon ECR Docker Credential Helper als Speicher für Anmeldeinformation zu verwenden. Weitere Informationen zur Installation und Konfiguration des Amazon ECR Hilfsprogramm für Anmeldeinformationen finden Sie unter ECR Docker Credential Helper.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltetes Signieren

Manuelles Signieren