使用 Amazon EKS 進行受管驗證 Amazon ECS 的 Lambda 許可控制器使用標記法 CLI 手動驗證設定 Notation 用戶端的身分驗證

簽章驗證

簽署容器映像之後，您可以驗證簽章，以確保映像未遭到竄改，並且來自信任的來源。Amazon ECR 支援多種方法來驗證簽章：

使用 Amazon EKS 進行受管驗證

Amazon EKS 為自動簽章驗證提供原生整合。當您在 Amazon EKS 叢集中設定簽章驗證時，服務會在允許容器執行之前自動驗證映像簽章。如需設定簽章驗證的詳細資訊，請參閱《Amazon EKS 使用者指南》中的在部署期間驗證容器映像簽章。

Amazon ECS 的 Lambda 許可控制器

Amazon ECS 提供服務生命週期掛鉤，可讓您在服務部署期間執行自訂邏輯。這些掛鉤可以在部署程序的特定點觸發 AWS Lambda 函數，可讓您在允許服務啟動之前驗證容器映像簽章。如需詳細資訊，請參閱《 AWS Signer 開發人員指南》中的驗證 Amazon ECS 的容器映像簽章。

使用標記法 CLI 手動驗證

您可以使用標記法 CLI 手動驗證簽章。此方法會要求您在本機電腦或驗證環境中安裝和設定 Notation CLI。如需使用標記法 CLI 驗證映像的詳細指示，請參閱《 AWS Signer 開發人員指南》中的在本機登入後驗證映像。

設定 Notation 用戶端的身分驗證

如果您使用手動簽署或使用 Notation CLI 手動驗證簽章，則必須設定 Notation 用戶端，以便向 Amazon ECR 進行身分驗證。如果您在安裝 Notation 用戶端的同一台主機上安裝了 Docker，則 Notation 將重複使用您用於 Docker 用戶端的相同身分驗證方法。Docker login和 logout命令將允許 Notation sign和 verify命令使用這些相同的登入資料，而且您不需要單獨驗證 Notation。如需設定您的 Notation 用戶端進行身分驗證的詳細資訊，請參閱 Notary Project 文件中的使用 OCI 相容登錄檔進行驗證。

如果您沒有使用 Docker 或其他使用 Docker 憑證的工具，則建議您使用 Amazon ECR Docker 憑證助手做為您的憑證存放區。如需有關如何安裝和設定 Amazon ECR 憑證助手的詳細資訊，請參閱《Amazon ECR Docker 憑證助手》。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

受管簽署

手動簽署