コンテナー署名機能は、コンテナーイメージの署名とコンテナーイメージ署名の検証をサポートします。 この機能により、信頼できるコンテナーイメージのみがデプロイされ、不正なイメージが開始されるのを防ぎます。 これにより、資産のセキュリティが強化されます。
制限事項
この機能をサポートしているのは、Security CenterのUltimateエディションのみです。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
前提条件
カスタマーマスターキー (CMK) は、key Management Service (KMS) を使用して作成されます。 CMKは、非対称暗号化アルゴリズムに基づく。 KMS CMKの作成方法の詳細については、「CMKの作成」をご参照ください。
重要非対称キーアルゴリズムのみがコンテナー署名機能をサポートしています。 KMS CMKを作成するときは、Key SpecをRSA_2048に設定し、PurposeをSign/Verifyに設定します。 KMS CMKでサポートされているキーアルゴリズムの詳細については、「KMSでサポートされている暗号化アルゴリズムの説明」をご参照ください。
Kubernetesクラスターが作成され、kritis-validation-hookコンポーネントがクラスターにインストールされます。
Kubernetesクラスターの作成方法の詳細については、「ACK専用クラスターの作成」をご参照ください。
kritis-validation-hookコンポーネントの詳細については、「Introduction to kritis-validation-hook」をご参照ください。
コンテナー署名機能を初めて使用する場合は、関連するAlibaba Cloudサービスにアクセスするために必要な権限をSecurity Centerに付与する必要があります。
手順
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、 を選択します。
オプション: [証人] タブで証人を作成します。
証人を作成した場合は、この手順をスキップしてステップ3に進みます。
それ以外の場合は、[証人] タブで [証人の作成] をクリックします。 表示されるパネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
目撃者
証人の名前を入力します。 セキュリティポリシーを構成するときは、必要なコンテナのコンテナ署名機能を有効にする証人を選択する必要があります。 有益な名前を入力することをお勧めします。
証明書を選択してください
証明書リストから作成したKMS CMKを選択します。
説明説明
証人の説明を入力します。
[セキュリティポリシー] タブで、[ポリシーの追加] をクリックします。 表示されるパネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ポリシー名
セキュリティポリシーの名前を入力します。 セキュリティポリシーを設定するときは、必要なクラスターのコンテナー機能を有効にする証人を選択する必要があります。
有益な名前を入力することをお勧めします。
目撃者
証人リストから作成した証人を選択します。
アプリケーションクラスタ
コンテナー署名機能を有効にするクラスターグループを選択します。 次に、必要なクラスター名前空間を選択します。
ポリシー有効
スイッチをオンにします。 ポリシーは、作成後に自動的に有効になります。
説明スイッチはデフォルトでオフになっています。 この場合、ポリシーは作成後に有効になりません。
注意
セキュリティポリシーの説明を入力します。
コンテナのセキュリティポリシーを作成して有効にすると、セキュリティポリシーの設定時に選択したコンテナに対してコンテナ署名機能が有効になります。 コンテナが作成されるコンテナイメージは、信頼できるイメージとラベル付けされます。