Signature gérée

La signature gérée par Amazon ECR signe automatiquement les images de vos conteneurs en générant des signatures cryptographiques à l'aide de AWS Signer lorsque les images sont transmises à Amazon ECR. Cela élimine le besoin d'installer et de configurer des outils côté client et vous permet de gérer de manière centralisée la signature en tant que configuration de registre.

Prérequis

Pour configurer la signature gérée, vous créez une configuration de signature avec Amazon ECR qui fait référence à un ou plusieurs profils de signature de signataires et, éventuellement, à des filtres de référentiel qui limitent les référentiels dont les images doivent être signées. Une fois configurée, Amazon ECR Managed Signing signe automatiquement les images lorsqu'elles sont transmises en utilisant l'identité de l'entité qui les diffuse.

Avant de pouvoir configurer la signature gérée, vous devez disposer des éléments suivants :

Un profil de signature de signataire : créez au moins un profil de signature de signataire. Un profil de signature est une ressource de AWS signature unique que vous pouvez utiliser pour effectuer des opérations de signature dans Amazon ECR. Les profils de signature vous permettent de signer et de vérifier des artefacts de code, tels que des images de conteneur et des ensembles de AWS Lambda déploiement. Chaque profil de signature désigne la plate-forme de signature à laquelle signer, un identifiant de plate-forme et d'autres informations spécifiques à la plate-forme. Par exemple, l'ARN d'un profil de signature ressemble à ceci :arn:partition:signer:region:account-id:/signing-profiles/profile-name.
Autorisations IAM — Le principal IAM qui envoie l'image doit disposer des autorisations IAM nécessaires pour accéder au profil de signature du signataire concerné et au référentiel ECR correspondant. Vous devez modifier la politique basée sur l'identité pour le principal IAM afin d'inclure des autorisations pour les opérations de référentiel ECR et les opérations de signature des signataires. L'exemple de politique suivant montre les autorisations requises :


{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid":"UploadSignaturePermissions",
       "Effect":"Allow",
       "Action":[
           "ecr:CompleteLayerUpload",
           "ecr:UploadLayerPart",
           "ecr:InitiateLayerUpload",
           "ecr:BatchCheckLayerAvailability",
           "ecr:PutImage"
       ],
       "Resource":"arn:aws:ecr:region:account-id:repository/repository-name"
   },
   {
       "Sid": "SignPermissions",
       "Effect": "Allow",
       "Action": [
           "signer:SignPayload"
       ],
       "Resource": "arn:aws:signer:region:account-id:/signing-profiles/signing-profile-name"
   }
   ]
}

Avec la signature gérée par Amazon ECR, vous pouvez créer plusieurs règles de signature (jusqu'à 10 par registre) afin de renforcer les limites de sécurité. Par exemple, vous pouvez exécuter plusieurs pipelines de génération et souhaitez limiter les référentiels que chaque pipeline peut signer. Dans chaque règle, vous configurez un profil de signature et spécifiez des filtres de nom de référentiel. Lorsqu'une nouvelle image est envoyée, Amazon ECR détermine la règle de signature et le profil de signature autorisés à signer l'image. S'il existe plusieurs correspondances, Amazon ECR génère plusieurs signatures.

Note

Si vous vérifiez les signatures manuellement, vous devez tout de même installer la CLI Notation.

Note

La signature gérée par Amazon ECR est disponible dans toutes les AWS régions où la signature d'images de conteneurs avec AWS Signer est disponible.

Prise en main

Procédez comme suit pour configurer la signature gérée. Vous fournissez à Amazon ECR une référence à un profil de signature de signataire et, éventuellement, des filtres qui limitent les référentiels dont les images doivent être signées.

AWS Management Console

Procédez comme suit pour configurer la signature gérée à l'aide du AWS Management Console.

Ouvrez la console Amazon ECR. Dans le volet de navigation de gauche, sélectionnez Registre privé, Fonctionnalités et paramètres, Signature gérée.
Sur la page Règles de signature, sélectionnez Créer une règle.
Sur la page du profil de signature, sous Sélectionnez un profil de AWS signataire, choisissez Créer un nouveau profil de AWS signataire, entrez un nom de profil et, éventuellement, modifiez la période de validité de la signature. Sélectionnez ensuite Next.
Sur la page Filtres, sous Sélectionner les référentiels, entrez un filtre de nom de référentiel. Sélectionnez ensuite Next.
Sur la page Réviser et créer, vérifiez le profil du AWS signataire et les filtres de nom du référentiel que vous avez saisis. Si tout semble correct, sélectionnez Enregistrer.

AWS CLI

Utilisez les AWS CLI commandes suivantes pour configurer la signature gérée.

Création d'une règle de signature

Créez une configuration de signature avec l'ARN de votre profil de signature. Créez un fichier JSON avec le contenu suivant :


{
    "rules": [ 
        { 
            "signingProfileArn": "arn:aws:signer:region:account-id:/signing-profiles/profile-name",
            "repositoryFilters": [ 
                { 
                    "filter": "test*",
                    "filterType": "WILDCARD_MATCH"
                }
            ]
        }
    ]
}

Ensuite, exécutez la commande suivante :


aws ecr --region region \
    put-signing-configuration \
    --signing-configuration file://signing-config.json

Vous devriez voir la réponse de l'API contenant la configuration de signature.

Afficher votre configuration de signature

Récupérez votre configuration de signature :
```
aws ecr --region region \
    get-signing-configuration
```
Vous devriez voir la réponse de l'API contenant la configuration de signature.
Vérifier l'état de signature des images

Transférez une image dans votre dépôt. Par exemple :
```
docker pull ubuntu

IMAGE_NAME="account-id.dkr.ecr.region.amazonaws.com/repository-name"
IMAGE_TAG="${IMAGE_NAME}:test-1"

docker tag ubuntu $IMAGE_TAG
docker push $IMAGE_TAG
```
Après avoir appuyé, utilisez votre balise d'image pour vérifier l'état de signature :
```
aws ecr --region region \
    describe-image-signing-status \
    --repository-name repository-name \
    --image-id imageTag=test-1
```
Si le nom du référentiel correspond à votre filtre de référentiel défini dans la configuration de signature, vous devriez voir le statut de signature dans la réponse de l'API. Si le statut est satisfaisant, vous devriez voir une signature envoyée à votre dépôt.
Supprimer votre configuration de signature

Supprimez votre configuration de signature :
```
aws ecr --region region \
    delete-signing-configuration
```
Vous devriez voir la réponse de l'API contenant la configuration de signature supprimée.

Considérations

Les limites et fonctionnalités suivantes s'appliquent à la signature gérée :

La signature entre régions n'est pas prise en charge : les profils de signature doivent se trouver dans la même région que votre registre Amazon ECR. Vous ne pouvez pas utiliser le profil de signature d'une région pour signer des images dans un registre situé dans une autre région.
La signature entre comptes est prise en charge : les profils de signature peuvent se trouver sur des comptes différents de ceux de votre registre Amazon ECR. Cela permet aux entreprises de gérer les profils de signature de manière centralisée tout en permettant aux développeurs d'autres comptes de les utiliser. Pour plus d'informations, consultez la section Configurer la signature entre comptes pour le signataire dans le guide du AWS Signer développeur.
Les signatures ne peuvent pas être signées : vous ne pouvez pas signer les signatures elles-mêmes. Seules les images du conteneur peuvent être signées.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Images de signes

Vérification de signature