コンテナイメージ署名用の AWS Signer オープンソース Notation プラグイン
本日、AWS は Notation 用の AWS Signer プラグインをオープンソース化しました。これにより、お客様はマネージド署名サービスである AWS Signer を使用してコンテナイメージの署名と検証を柔軟かつ透明に行うことができるようになりました。Notation は、NotaryProject によって開発されたオープンソースツールです。NotaryProject は、コンテナイメージやその他の OCI アーティファクトを認証することでソフトウェアサプライチェーンを保護するための業界標準です。このプラグインは、Signer マネージドシークレットと失効機能で Notation を拡張します。お客様は、Signer プラグインをネイティブツール内のライブラリとして組み込んで、コンテナアーティファクトの署名を生成および検証できるようになりました。
Notation は CLI 実行可能ファイルまたは Golang ライブラリとして使用できます。オープンソースの Signer プラグインを使用すると、go-library を追加することで、署名および検証のアクティビティを既存のアプリケーションやツールにシームレスに組み込むことができます。これにより、プラグインを実行可能ファイルとしてインストールして呼び出す必要がなくなります。さらに、署名の生成と検証に AWS Signer API がどのように使用されるかについても透明性が得られます。Signer と CLI の統合をご希望の場合は、独自のバージョンの Signer プラグイン実行可能ファイルを構築することも、AWS Signer ドキュメントから事前構築済みの実行可能ファイルを引き続きダウンロードすることもできます。
AWS Signer プラグインは、Apache 2.0 ライセンスの下でオープンソースプロジェクトとしてリリースされています。Signer プラグインを構築するためのソースコードと手順には、こちらの GitHub リポジトリでアクセスできます。コンテナイメージ署名の詳細については、このブログを参照してください。