Verifica gestita con Amazon EKS Controller di ammissione Lambda per Amazon ECS Verifica manuale con Notation CLI Configura l'autenticazione per il client Notation

Verifica della firma

Dopo aver firmato le immagini dei contenitori, puoi verificare le firme per assicurarti che le immagini non siano state manomesse e provengano da una fonte attendibile. Amazon ECR supporta diversi metodi per la verifica delle firme:

Verifica gestita con Amazon EKS

Amazon EKS offre un'integrazione nativa per la verifica automatica delle firme. Quando configuri la verifica delle firme nei cluster Amazon EKS, il servizio verifica automaticamente le firme delle immagini prima di consentire l'esecuzione dei contenitori. Per ulteriori informazioni sulla configurazione della verifica delle firme, consulta Convalida delle firme delle immagini dei container durante la distribuzione nella Amazon EKS User Guide.

Controller di ammissione Lambda per Amazon ECS

Amazon ECS fornisce hook per il ciclo di vita del servizio che consentono di eseguire logiche personalizzate durante le distribuzioni dei servizi. Questi hook possono attivare AWS Lambda funzioni in punti specifici del processo di distribuzione, consentendoti di convalidare le firme delle immagini dei container prima di consentire l'avvio dei servizi. Per ulteriori informazioni, consulta Verify container image signatures for Amazon ECS nella AWS Signer Developer Guide.

Verifica manuale con Notation CLI

È possibile verificare le firme manualmente utilizzando la CLI di Notation. Questo metodo richiede l'installazione e la configurazione della CLI di Notation sul computer locale o nell'ambiente di verifica. Per istruzioni dettagliate sulla verifica di un'immagine utilizzando la CLI di Notation, consulta Verificare un'immagine localmente dopo l'accesso alla Developer Guide.AWS Signer

Configura l'autenticazione per il client Notation

Se utilizzi la firma manuale o verifichi le firme manualmente utilizzando la CLI di Notation, devi configurare il client Notation in modo che possa autenticarsi su Amazon ECR. Se hai installato Docker sullo stesso host in cui installi il client Notation, Notation riutilizzerà lo stesso metodo di autenticazione utilizzato per il client Docker. Il Docker login e logout i comandi consentiranno a Notation sign e ai verify comandi di utilizzare le stesse credenziali e non è necessario autenticare Notation separatamente. Per ulteriori informazioni sulla configurazione del client Notation per l'autenticazione, consulta Autenticazione con registri conformi a OCI nella documentazione di Notary Project.

Se non utilizzi Docker o un altro strumento che utilizza le credenziali Docker, ti consigliamo di utilizzare l'assistente di gestione credenziali Docker di Amazon ECR come archivio di credenziali. Per ulteriori informazioni su come installare e configurare l'assistente credenziali di Amazon ECR, consulta Assistente di gestione credenziali Docker di Amazon ECR.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Firma gestita

Firma manuale