本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 簽章驗證
<a name="image-signing-verification"></a>

簽署容器映像之後，您可以驗證簽章，以確保映像未遭到竄改，並且來自信任的來源。Amazon ECR 支援多種方法來驗證簽章：

## 使用 Amazon EKS 進行受管驗證
<a name="image-signing-verification-managed"></a>

Amazon EKS 為自動簽章驗證提供原生整合。當您在 Amazon EKS 叢集中設定簽章驗證時，服務會在允許容器執行之前自動驗證映像簽章。如需設定簽章驗證的詳細資訊，請參閱《*Amazon EKS 使用者指南*》中的在[部署期間驗證容器映像簽章](https://docs.aws.amazon.com/eks/latest/userguide/image-verification.html)。

## Amazon ECS 的 Lambda 許可控制器
<a name="image-signing-verification-lambda"></a>

Amazon ECS 提供服務生命週期掛鉤，可讓您在服務部署期間執行自訂邏輯。這些掛鉤可以在部署程序的特定點觸發 AWS Lambda 函數，可讓您在允許服務啟動之前驗證容器映像簽章。如需詳細資訊，請參閱《 *AWS Signer 開發人員指南*》中的[驗證 Amazon ECS 的容器映像簽章](https://docs.aws.amazon.com/signer/latest/developerguide/ecs-verification.html)。

## 使用標記法 CLI 手動驗證
<a name="image-signing-verification-manual"></a>

您可以使用標記法 CLI 手動驗證簽章。此方法會要求您在本機電腦或驗證環境中安裝和設定 Notation CLI。如需使用標記法 CLI 驗證映像的詳細指示，請參閱《 *AWS Signer 開發人員指南*》中的[在本機登入後驗證映像](https://docs.aws.amazon.com/signer/latest/developerguide/image-verification.html)。

## 設定 Notation 用戶端的身分驗證
<a name="image-signing-authentication"></a>

如果您使用手動簽署或使用 Notation CLI 手動驗證簽章，則必須設定 Notation 用戶端，以便向 Amazon ECR 進行身分驗證。如果您在安裝 Notation 用戶端的同一台主機上安裝了 Docker，則 Notation 將重複使用您用於 Docker 用戶端的相同身分驗證方法。Docker `login`和 `logout`命令將允許 Notation `sign`和 `verify`命令使用這些相同的登入資料，而且您不需要單獨驗證 Notation。如需設定您的 Notation 用戶端進行身分驗證的詳細資訊，請參閱 Notary Project 文件中的[使用 OCI 相容登錄檔進行驗證](https://notaryproject.dev/docs/user-guides/how-to/registry-authentication/)。

如果您沒有使用 Docker 或其他使用 Docker 憑證的工具，則建議您使用 Amazon ECR Docker 憑證助手做為您的憑證存放區。如需有關如何安裝和設定 Amazon ECR 憑證助手的詳細資訊，請參閱《[Amazon ECR Docker 憑證助手](https://github.com/awslabs/amazon-ecr-credential-helper)》。