投稿日: Jun 6, 2023
本日、AWS Signer と Amazon Elastic Container Registry (ECR) が、コンテナイメージに署名して検証できる新機能であるイメージ署名を導入しました。この機能により、マネージド型の署名サービスである Signer を使用して、承認したコンテナイメージのみが Amazon Elastic Kubernetes Service (EKS) クラスターにデプロイされていることを検証できるようになりました。
コンテナイメージへの署名により、承認されたイメージを組織内で使用し、セキュリティやコンプライアンスの要件に対応できるようになります。開発段階やデプロイ段階で、いつでもコンテナイメージに署名して検証することができます。最初に、署名プロファイル、つまり一意の AWS Signer アイデンティティを作成し、クライアント側のツールを使用して、リポジトリ内のイメージに暗号署名を実施します。Singer は署名キーの管理、コード署名証明書のローテーション、監査ログの提供、イメージと署名の保存を行います。Amazon EKS および Kubernetes を利用するお客様は、Gatekeeper や Kyverno など、お好きなアドミッションコントローラーを選択するか、独自のツールを開発することで、デプロイする前にイメージを検証することができます。
Signer が利用可能な AWS リージョンの詳細については、AWS リージョン表をご覧ください。Signer は追加料金なしでご利用いただけます。詳細については、Signer および ECR のドキュメントと、ローンチブログを参照してください。