发布于: Jun 6, 2023
AWS Signer 和 Amazon Elastic Container Registry (ECR) 今天推出了镜像签名这项新功能,让您能够对容器镜像进行签名和验证。现在,您可以使用托管式签名服务 Signer 来确认是否只有经您批准的容器镜像部署到了您的 Amazon Amazon Elastic Kubernetes Service (EKS) 集群中。
您可以使用容器镜像签名功能来帮助确保在组织内部使用经批准的镜像,这可以帮助您满足安全性和合规性要求。在开发或部署阶段,您可以随时对容器镜像进行签名和验证。首先,您需要创建一个签名配置文件(唯一的 AWS Signer 身份),以便使用客户端工具对存储库中的镜像进行加密签名。Signer 可以管理签名密钥、轮换代码签名证书、提供审核日志,并将签名与您的镜像一起存储。Amazon EKS 和 Kubernetes 客户可以选择自己的首选准入控制器(例如 Gatekeeper 或 Kyverno),或者开发自己的工具,以便帮助在部署镜像之前执行镜像验证。