Verificação gerenciada com o Amazon EKS Controlador de admissão Lambda para Amazon ECS Verificação manual com Notation CLI Configurar a autenticação para o cliente Notation

Verificação de assinatura

Depois de assinar as imagens do contêiner, você pode verificar as assinaturas para garantir que as imagens não tenham sido adulteradas e venham de uma fonte confiável. O Amazon ECR oferece suporte a vários métodos de verificação de assinaturas:

Verificação gerenciada com o Amazon EKS

O Amazon EKS fornece integração nativa para verificação automática de assinaturas. Quando você configura a verificação de assinatura em seus clusters do Amazon EKS, o serviço verifica automaticamente as assinaturas das imagens antes de permitir que os contêineres sejam executados. Para obter mais informações sobre como configurar a verificação de assinatura, consulte Validar assinaturas de imagens de contêineres durante a implantação no Guia do usuário do Amazon EKS.

Controlador de admissão Lambda para Amazon ECS

O Amazon ECS fornece ganchos do ciclo de vida do serviço que permitem que você execute uma lógica personalizada durante as implantações do serviço. Esses ganchos podem acionar AWS Lambda funções em pontos específicos do processo de implantação, permitindo que você valide assinaturas de imagens de contêineres antes de permitir o início dos serviços. Para obter mais informações, consulte Verificar assinaturas de imagens de contêineres para o Amazon ECS no Guia do AWS Signer desenvolvedor.

Verificação manual com Notation CLI

Você pode verificar as assinaturas manualmente usando a CLI do Notation. Esse método exige que você instale e configure o Notation CLI em sua máquina local ou em seu ambiente de verificação. Para obter instruções detalhadas sobre como verificar uma imagem usando o Notation CLI, consulte Verificar uma imagem localmente após fazer login no Guia do desenvolvedor.AWS Signer

Configurar a autenticação para o cliente Notation

Se você usa a assinatura manual ou verifica assinaturas manualmente usando a CLI do Notation, você deve configurar o cliente do Notation para que ele possa se autenticar no Amazon ECR. Se o Docker estiver instalado no mesmo host em que você instalou o cliente do Notation, o Notation reutilizará o mesmo método de autenticação usado para o cliente do Docker. O Docker login e logout os comandos permitirão que o Notation sign e verify os comandos usem essas mesmas credenciais, e você não precisará autenticar separadamente o Notation. Para obter mais informações sobre como configurar o cliente do Notation para autenticação, consulte Authenticate with OCI-compliant registries na documentação do projeto Notary.

Se você não estiver usando o Docker ou outra ferramenta que use as credenciais do Docker, recomendamos que use o auxiliar de credenciais do Docker doo Amazon ECR como repositório de credenciais. Para obter mais informações sobre como instalar e configurar o auxiliar de credenciais do Amazon ECR, consulte Amazon ECR Docker Credential Helper.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Assinatura gerenciada

Assinatura manual