View a markdown version of this page

Vérification de signature - Amazon ECR
Vérification gérée avec Amazon EKSContrôleur d'admission Lambda pour Amazon ECSVérification manuelle avec Notation CLIConfiguration de l'authentification pour le client Notation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérification de signature

Après avoir signé les images de vos conteneurs, vous pouvez vérifier les signatures pour vous assurer que les images n'ont pas été falsifiées et proviennent d'une source fiable. Amazon ECR prend en charge plusieurs méthodes de vérification des signatures :

Vérification gérée avec Amazon EKS

Amazon EKS fournit une intégration native pour la vérification automatique des signatures. Lorsque vous configurez la vérification des signatures dans vos clusters Amazon EKS, le service vérifie automatiquement les signatures d'image avant d'autoriser l'exécution des conteneurs. Pour plus d'informations sur la configuration de la vérification des signatures, consultez la section Valider les signatures d'images de conteneurs lors du déploiement dans le guide de l'utilisateur Amazon EKS.

Contrôleur d'admission Lambda pour Amazon ECS

Amazon ECS fournit des hooks du cycle de vie des services qui vous permettent d'exécuter une logique personnalisée lors des déploiements de services. Ces hooks peuvent déclencher des AWS Lambda fonctions à des moments spécifiques du processus de déploiement, ce qui vous permet de valider les signatures des images des conteneurs avant d'autoriser le démarrage des services. Pour plus d'informations, consultez Vérifier les signatures d'image de conteneur pour Amazon ECS dans le manuel du AWS Signer développeur.

Vérification manuelle avec Notation CLI

Vous pouvez vérifier les signatures manuellement à l'aide de la CLI Notation. Cette méthode nécessite l'installation et la configuration de la CLI Notation sur votre machine locale ou dans votre environnement de vérification. Pour obtenir des instructions détaillées sur la vérification d'une image à l'aide de la Notation CLI, voir Vérifier une image localement après signature dans le manuel du AWS Signer développeur.

Configuration de l'authentification pour le client Notation

Si vous utilisez la signature manuelle ou si vous vérifiez les signatures manuellement à l'aide de la CLI Notation, vous devez configurer le client Notation afin qu'il puisse s'authentifier auprès d'Amazon ECR. Si Docker est installé sur le même hôte que le client Notation, ce dernier réutilisera la même méthode d'authentification que celle utilisée pour le client Docker. Le Docker login et logout les commandes permettront à la notation sign et aux verify commandes d'utiliser les mêmes informations d'identification, et vous n'aurez pas à authentifier la notation séparément. Pour plus d'informations sur la configuration de votre client Notation pour l'authentification, voir Authentifier avec des registres conformes à l'OCI-OCI dans la documentation du projet Notary.

Si vous n'utilisez pas Docker ou un autre outil qui utilise des informations d'identification Docker, nous vous recommandons d'utiliser l'assistant des informations d'identification Amazon ECR Docker comme magasin d'informations d'identification. Pour plus d'informations sur l'installation et la configuration de l'assistant des informations d'identification Amazon ECR Docker, consultez la page Assistant des informations d'identification Amazon ECR Docker (français non garanti).