Amazon ECR теперь поддерживает управляемую подпись образов контейнеров
Amazon ECR теперь поддерживает управляемую подпись образов контейнеров, что повышает уровень безопасности и устраняет эксплуатационные издержки, связанные с настройкой подписи. Подпись образов контейнеров позволяет удостовериться в том, что образы получены из надежных источников. С появлением управляемой подписи настройка подписи образа контейнер в ECR сводится к нескольким щелчкам мыши в Консоли ECR или одному вызову API.
Для начала работы создайте правило подписи через профиль подписи AWS Signer с указанием таких параметров, как срок действия подписи и репозитории, для которых ECR должен подписывать образы. После настройки ECR будет автоматически подписывать образы в момент их отправки, используя удостоверение сущности, отправившей этот образ. Для операций подписи ECR задействует сервис AWS Signer, который управляет материалом ключей и жизненным циклом сертификатов, включая их генерацию, безопасное хранение и ротацию. Для удобства аудита все операции подписи регистрируются в CloudTrail.
Функция управляемой подписи ECR доступна во всех регионах AWS, где предоставляется AWS Signer. Подробнее см. в документации.