翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 署名の検証
コンテナイメージに署名したら、署名を検証して、イメージが改ざんされておらず、信頼できるソースからのものであることを確認できます。Amazon ECR は、署名を検証するためのいくつかの方法をサポートしています。
## Amazon EKS によるマネージド検証
Amazon EKS は、署名の自動検証のためのネイティブ統合を提供します。Amazon EKS クラスターで署名検証を設定すると、コンテナの実行を許可する前に、サービスによってイメージ署名が自動的に検証されます。署名検証の設定の詳細については、*「Amazon EKS ユーザーガイド*」の[「デプロイ中にコンテナイメージの署名を検証する](https://docs.aws.amazon.com/eks/latest/userguide/image-verification.html)」を参照してください。
## Amazon ECS 用の Lambda アドミッションコントローラー
Amazon ECS には、サービスのデプロイ中にカスタムロジックを実行できるようにするサービスライフサイクルフックが用意されています。これらのフックは、デプロイプロセスの特定の時点で AWS Lambda 関数をトリガーできるため、サービスの開始を許可する前にコンテナイメージの署名を検証できます。詳細については、「 *AWS Signer デベロッパーガイド*」の[「Amazon ECS のコンテナイメージ署名](https://docs.aws.amazon.com/signer/latest/developerguide/ecs-verification.html)の検証」を参照してください。
## Notation CLI による手動検証
Notation CLI を使用して署名を手動で検証できます。この方法では、ローカルマシンまたは検証環境に Notation CLI をインストールして設定する必要があります。Notation CLI を使用してイメージを検証する詳細な手順については、「 *AWS Signer デベロッパーガイド*」の[「署名後にローカルでイメージ](https://docs.aws.amazon.com/signer/latest/developerguide/image-verification.html)を検証する」を参照してください。
## Notation クライアントの認証を設定する
Notation CLI を使用して手動署名または署名を手動で検証する場合は、Amazon ECR に対して認証できるように Notation クライアントを設定する必要があります。Notation クライアントをインストールしたのと同じホストに Docker がインストールされている場合、Notation では Docker クライアントで使用されるのと同じ認証方法が再利用されます。Docker コマンド`login`と `logout` コマンドでは、Notation コマンド`sign`と `verify` コマンドが同じ認証情報を使用でき、Notation を個別に認証する必要はありません。Notation クライアントの認証設定の詳細については、Notary Project ドキュメントの「[Authenticate with OCI-compliant registries](https://notaryproject.dev/docs/user-guides/how-to/registry-authentication/)」を参照してください。
Docker や Docker 認証情報を使用するその他のツールを使用していない場合は、認証情報ストアとして Amazon ECR Docker 認証情報ヘルパーを使用することをお勧めします。Amazon ECR 認証情報ヘルパーのインストールと設定方法の詳細については、[「Amazon ECR Docker 認証情報ヘルパー」](https://github.com/awslabs/amazon-ecr-credential-helper)を参照してください。