Verificación de firma - Amazon ECR
Verificación gestionada con Amazon EKSControladora de admisión Lambda para Amazon ECSVerificación manual con Notation CLIConfigure la autenticación para el cliente de Notation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Verificación de firma

Después de firmar las imágenes del contenedor, puede comprobar las firmas para asegurarse de que las imágenes no se hayan manipulado y que procedan de una fuente de confianza. Amazon ECR admite varios métodos para verificar las firmas:

Verificación gestionada con Amazon EKS

Amazon EKS proporciona una integración nativa para la verificación automática de firmas. Cuando configura la verificación de firmas en sus clústeres de Amazon EKS, el servicio verifica automáticamente las firmas de imagen antes de permitir que se ejecuten los contenedores. Para obtener más información sobre la configuración de la verificación de firmas, consulte Validar las firmas de imágenes de contenedores durante la implementación en la Guía del usuario de Amazon EKS.

Controladora de admisión Lambda para Amazon ECS

Amazon ECS proporciona enlaces al ciclo de vida del servicio que le permiten ejecutar una lógica personalizada durante las implementaciones del servicio. Estos enlaces pueden activar AWS Lambda funciones en puntos específicos del proceso de implementación, lo que le permite validar las firmas de imágenes de los contenedores antes de permitir que se inicien los servicios. Para obtener más información, consulte Verificar las firmas de imagen de contenedores para Amazon ECS en la Guía para AWS Signer desarrolladores.

Verificación manual con Notation CLI

Puede verificar las firmas manualmente mediante la CLI de notación. Este método requiere que instale y configure la CLI de notación en su máquina local o en su entorno de verificación. Para obtener instrucciones detalladas sobre la verificación de una imagen mediante Notation CLI, consulte Verificar una imagen localmente después de iniciar sesión en la Guía para AWS Signer desarrolladores.

Configure la autenticación para el cliente de Notation

Si utiliza la firma manual o verifica las firmas manualmente mediante la CLI de Notation, debe configurar el cliente de Notation para que pueda autenticarse en Amazon ECR. Si tiene Docker instalado en el mismo host en el que instaló el cliente de Notation, Notation reutilizará el mismo método de autenticación que utiliza para el cliente de Docker. El Docker login y logout los comandos permitirán que Notation sign y verify los comandos utilicen las mismas credenciales y no tendrá que autenticar Notation por separado. Para obtener más información acerca de la configuración de su cliente de Notation para la autenticación, consulte Autenticar con registros compatibles con OCI en la documentación de Notary Project.

Si no utiliza Docker u otra herramienta que utilice credenciales de Docker, le recomendamos que utilice el Asistente de credenciales de Docker de Amazon ECR como almacén de credenciales. Para obtener más información sobre cómo instalar y configurar el asistente de credenciales de Amazon ECR, consulte el Asistente de credenciales de Amazon ECR Docker.