翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージド署名

Amazon ECR マネージド署名は、イメージが Amazon ECR にプッシュされたときに AWS Signer を使用して暗号化署名を生成することで、コンテナイメージを自動的に署名します。これにより、クライアント側のツールをインストールして設定する必要がなくなり、レジストリ設定として署名を一元管理できます。

前提条件

マネージド署名を設定するには、1 つ以上の Signer 署名プロファイルを参照する Amazon ECR を使用して署名設定を作成し、オプションで、イメージに署名するリポジトリを制限するリポジトリフィルターを作成します。設定すると、Amazon ECR マネージド署名は、イメージをプッシュするエンティティの ID を使用してプッシュされるときに自動的にイメージに署名します。

マネージド署名を設定する前に、以下が必要です。

{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid":"UploadSignaturePermissions",
       "Effect":"Allow",
       "Action":[
           "ecr:CompleteLayerUpload",
           "ecr:UploadLayerPart",
           "ecr:InitiateLayerUpload",
           "ecr:BatchCheckLayerAvailability",
           "ecr:PutImage"
       ],
       "Resource":"arn:aws:ecr:region:account-id:repository/repository-name"
   },
   {
       "Sid": "SignPermissions",
       "Effect": "Allow",
       "Action": [
           "signer:SignPayload"
       ],
       "Resource": "arn:aws:signer:region:account-id:/signing-profiles/signing-profile-name"
   }
   ]
}

Amazon ECR マネージド署名を使用すると、複数の署名ルール (レジストリあたり最大 10 個) を作成して、より強力なセキュリティ境界を作成できます。たとえば、複数のビルドパイプラインを実行し、各パイプラインが署名できるリポジトリを制限できます。各ルール内で、署名プロファイルを設定し、リポジトリ名フィルターを指定します。新しいイメージがプッシュされると、Amazon ECR はイメージに署名できる署名ルールと署名プロファイルに一致します。複数の一致がある場合、Amazon ECR は複数の署名を生成します。

開始方法

マネージド署名を設定するには、次の手順に従います。署名者署名プロファイルへの参照を Amazon ECR に提供し、オプションで、イメージに署名するリポジトリを制限するフィルターを指定します。

AWS マネジメントコンソール

を使用してマネージド署名を設定するには、次の手順に従います AWS マネジメントコンソール。

1. Amazon ECR コンソールを開きます。左側のナビゲーションペインで、プライベートレジストリ、機能と設定、マネージド署名を選択します。

2. ルールの署名ページで、ルールの作成を選択します。

3. 署名プロファイルページの「署名者プロファイルの選択 AWS 」で、「新しい AWS 署名者プロファイルの作成」を選択し、プロファイル名を入力し、オプションで署名の有効期間を変更します。[次へ] を選択します。

4. フィルターページの「リポジトリの選択」の下に、リポジトリ名フィルターを入力します。[次へ] を選択します。

5. 確認と作成ページで、入力したAWS 署名者プロファイルとリポジトリ名フィルターを確認します。すべて正しいと思われる場合は、保存 を選択します。

AWS CLI

マネージド署名を設定するには、次の AWS CLI コマンドを使用します。

• 署名ルールを作成する

  署名プロファイル ARN を使用して署名設定を作成します。次の内容を含む JSON ファイルを作成します。

  {
      "rules": [ 
          { 
              "signingProfileArn": "arn:aws:signer:region:account-id:/signing-profiles/profile-name",
              "repositoryFilters": [ 
                  { 
                      "filter": "test*",
                      "filterType": "WILDCARD_MATCH"
                  }
              ]
          }
      ]
  }

  次に、以下のコマンドを実行します。

  aws ecr --region region \
      put-signing-configuration \
      --signing-configuration file://signing-config.json

  署名設定を含む API レスポンスが表示されます。

• 署名設定を表示する

  署名設定を取得します。

  aws ecr --region region \
      get-signing-configuration

  署名設定を含む API レスポンスが表示されます。

• イメージ署名ステータスを確認する

  イメージをリポジトリにプッシュします。例:

  docker pull ubuntu
  
  IMAGE_NAME="account-id.dkr.ecr.region.amazonaws.com/repository-name"
  IMAGE_TAG="${IMAGE_NAME}:test-1"
  
  docker tag ubuntu $IMAGE_TAG
  docker push $IMAGE_TAG

  プッシュしたら、イメージタグを使用して署名ステータスを確認します。

  aws ecr --region region \
      describe-image-signing-status \
      --repository-name repository-name \
      --image-id imageTag=test-1

  リポジトリ名が署名設定で定義されたリポジトリフィルターと一致する場合、API レスポンスに署名ステータスが表示されます。ステータスが成功すると、リポジトリにプッシュされた署名が表示されます。

• 署名設定を削除する

  署名設定を削除します。

  aws ecr --region region \
      delete-signing-configuration

  削除された署名設定を含む API レスポンスが表示されます。

考慮事項

マネージド署名には、次の制限と機能が適用されます。