기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서명 확인

컨테이너 이미지에 서명한 후 서명을 확인하여 이미지가 변조되지 않았고 신뢰할 수 있는 소스에서 왔는지 확인할 수 있습니다. Amazon ECR은 서명을 확인하는 몇 가지 방법을 지원합니다.

Amazon EKS를 사용한 관리형 확인

Amazon EKS는 자동 서명 확인을 위한 기본 통합을 제공합니다. Amazon EKS 클러스터에서 서명 확인을 구성하면 서비스는 컨테이너 실행을 허용하기 전에 이미지 서명을 자동으로 확인합니다. 서명 확인 구성에 대한 자세한 내용은 Amazon EKS 사용 설명서의 배포 중 컨테이너 이미지 서명 검증을 참조하세요.

Amazon ECS용 Lambda 승인 컨트롤러

Amazon ECS는 서비스 배포 중에 사용자 지정 로직을 실행할 수 있는 서비스 수명 주기 후크를 제공합니다. 이러한 후크는 배포 프로세스의 특정 지점에서 AWS Lambda 함수를 트리거하여 서비스를 시작하기 전에 컨테이너 이미지 서명을 검증할 수 있습니다. 자세한 내용은 AWS Signer 개발자 안내서의 Amazon ECS에 대한 컨테이너 이미지 서명 확인을 참조하세요.

Notation CLI를 사용한 수동 확인

Notation CLI를 사용하여 서명을 수동으로 확인할 수 있습니다. 이 방법을 사용하려면 로컬 시스템 또는 확인 환경에 Notation CLI를 설치하고 구성해야 합니다. Notation CLI를 사용하여 이미지를 확인하는 방법에 대한 자세한 지침은 AWS Signer 개발자 안내서의 로그인 후 로컬에서 이미지 확인을 참조하세요.

Notation 클라이언트에 대한 인증 구성

수동 서명을 사용하거나 Notation CLI를 사용하여 서명을 수동으로 확인하는 경우 Amazon ECR에 인증할 수 있도록 Notation 클라이언트를 구성해야 합니다. Notation 클라이언트를 설치한 동일한 호스트에 Docker를 설치한 경우 Notation은 Docker 클라이언트에 사용하는 것과 동일한 인증 방법을 재사용합니다. Docker login 및 logout 명령을 사용하면 Notation sign 및 verify 명령이 동일한 자격 증명을 사용할 수 있으며 Notation을 별도로 인증할 필요가 없습니다. 인증을 위한 Notation 클라이언트 구성에 대한 자세한 내용은 Notary Project 설명서의 OCI 준수 레지스트리를 통한 인증을 참조하세요.

Docker 또는 Docker 자격 증명을 사용하는 다른 도구를 사용하지 않는 경우 Amazon ECR Docker 자격 증명 도우미를 자격 증명 스토어로 사용하는 것이 좋습니다. Amazon ECR 자격 증명 도우미를 설치하고 구성하는 방법에 대한 자세한 내용은 Amazon ECR Docker 자격 증명 도우미를 참조하세요.