发布于: Mar 14, 2024
从今天开始,AWS Signer 容器映像签名和验证功能在 AWS GovCloud(美国)区域推出。现在,您可以使用 AWS Signer(一项托管式签名服务)对注册表中的映像进行签名,例如 Amazon Elastic Container Registry (ECR)。您可以验证是否只有经过批准的映像才会部署到 Amazon Elastic Kubernetes Service (EKS) 集群或在 Amazon Elastic Container Service (ECS) 集群中使用。
您可以使用容器映像签名功能来帮助确保在组织内部使用经批准的映像,这可以帮助您满足安全性和合规性要求。在开发或部署阶段,您可以随时对容器映像进行签名和验证。您可以在 AWS Signer 中创建唯一的签名身份,以便使用客户端工具对存储库中的映像进行加密签名。AWS Signer 可以管理签名密钥、轮换代码签名证书、提供审计日志,并将签名与您的映像一起存储。Amazon EKS 和 Kubernetes 客户可以使用常见的策略解决方案(如 Gatekeeper 或 Kyverno)或开发自己的工具来对映像进行验证。
有关已推出 AWS Signer 的 AWS 区域的更多信息,请参阅 AWS 区域表。