Container Registry：使用容器鏡像加簽

建立非對稱金鑰

1. Key Management Service控制。

2. 在頁面左上方的地區下拉式清單，選擇密鑰所在的地區。

3. 在控制台左側導覽列，單擊使用者主要金鑰，然後單擊建立密鑰。

4. 在建立密鑰對話方塊配置參數，然後單擊確定。

   容器簽名功能需要非對稱金鑰演算法的支援，建立KMS密鑰時，密鑰類型需選擇EC或RSA，密鑰用途需選擇SIGN或VERIFY。其他參數配置請參見建立密鑰。

授權Container Registry使用KMS密鑰

為了讓ACR可以讀取到您帳號下的非對稱金鑰，需要在您的帳號上配置以下RAM策略。

1. 登入RAM控制台。

2. 在控制台左側導覽列中選擇身份管理 > 角色。

3. 在角色頁面建立AliyunContainerRegistryKMSRole角色。

   1. 在角色頁面單擊建立角色。

   2. 在選擇類型設定精靈中選擇可信實體類型為阿里雲帳號，然後單擊下一步。

   3. 在配置角色中設定角色名稱為AliyunContainerRegistryKMSRole，並選擇雲帳號，然後單擊完成。

4. 修改信任策略。

   1. 在角色頁面找到AliyunContainerRegistryKMSRole，單擊角色名稱列下的AliyunContainerRegistryKMSRole。

   2. 單擊信任策略管理頁簽，然後單擊修改信任策略。

   3. 在修改信任策略面板，修改信任策略，然後單擊確定。

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "cr.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

5. 建立AliyunContainerRegistryKMSRolePolicy策略。

   1. 在RAM控制台左側導覽列中，單擊許可權管理 > 權限原則。

   2. 在權限原則頁面，單擊建立權限原則。

   3. 在建立權限原則頁面，單擊指令碼編輯頁簽，在文字框中輸入策略內容，單擊繼續編輯基本資料，設定策略名稱稱為AliyunContainerRegistryKMSRolePolicy，然後單擊確定。

      說明

      您需要根據實際情況替換region和accountid。

      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "kms:*"
                  ],
                  "Resource": "acs:kms:${region}:${accountid}:*"
              }
          ],
          "Version": "1"
      }

6. 在左側導覽列中，選擇 身份管理 > 角色，在角色列表中，找到AliyunContainerRegistryKMSRole 角色。

7. 單擊右側操作列下的添加許可權。

8. 在添加許可權面板中選擇權限原則為自訂策略，找到並選擇AliyunContainerRegistryKMSRolePolicy ，單擊確定，完成添加。

配置證明者及驗簽策略

1. 登入Security Center。

2. 在左側導覽列選擇防護配置 > 容器防護 > 容器簽名，建立證明者並關聯相應的KMS密鑰，用於容器鏡像加簽。

3. 可選：新增驗簽策略，將證明者關聯到對應的ACK叢集。更多資訊，請參見容器簽名。

配置鏡像自動加簽規則

1. 登入Container Registry控制台。

2. 在頂部功能表列，選擇所需地區。

3. 在左側導覽列，選擇執行個體列表。

4. 在執行個體列表頁面單擊目標企業版執行個體。

5. 在企業版執行個體管理頁面左側導覽列選擇安全可信 > 鏡像加簽。單擊添加加簽規則。

6. 在密鑰配置的設定精靈中選擇在資訊安全中心建立的證明者關聯KMS Key。然後單擊下一步。

7. 在加簽配置的設定精靈中設定參數，然後單擊建立加簽規則。

   說明

   設定加簽規則僅對該命名空間下所有新上傳的鏡像進行加簽操作，存量的鏡像不做加簽操作。

   • 加簽演算法：提供兩種可選加簽演算法RSA_PSS_SHA_256或者RSA_PKCS1_SHA_256。

   • 加簽範圍：目前支援命名空間層級自動加簽，選擇需要自動加簽的命名空間。

   • 加簽類型：

     • 預設：加簽範圍有鏡像Digest和鏡像版本資訊，預設模式適用於當前執行個體下鏡像資料的驗簽。

     • 極簡：加簽範圍僅有鏡像Digest部分，不依賴鏡像版本的資訊。極簡模式適用於跨執行個體鏡像同步情境，鏡像版本會變更對應鏡像資料的驗簽。

   • 觸發方式：預設支援自動觸發，每次推送鏡像後，會自動觸發加簽。

鏡像驗簽

關於鏡像驗簽請參見使用kritis-validation-hook進行容器鏡像簽名驗證。