容器簽名可實現對容器鏡像的可信簽名,確保只允許部署您認可的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上協助您提升資產的安全性。
版本限制
僅Security Center的旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
前提條件
已建立了非對稱式加密演算法的KMS密鑰。 有關建立KMS密鑰的詳細內容,請參見管理密鑰。
重要由於非對稱金鑰演算法才支援容器簽名功能,建立KMS密鑰時,密鑰類型必須選擇RSA_2048,密鑰用途必須選擇SIGN/VERIFY。關於KMS密鑰演算法的詳細內容,請參見KMS支援的演算法規格說明。
已建立了Kubernetes叢集,並且叢集已安裝了kritis-validation-hook組件。
建立Kubernetes叢集的具體操作,請參見建立Kubernetes專有版叢集。
有關kritis-validation-hook組件的更多資訊,請參見kritis-validation-hook組件介紹。
首次使用容器簽名,需要先完成雲資產訪問授權。
操作步驟
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列選擇。
可選:在證明者頁簽中建立證明者。
如果您已建立過證明者,可直接進入下一步驟。
您可在證明者頁簽中單擊建立證明者,完成配置後單擊確定,完成證明者的建立。
配置項
說明
證明者名稱
配置容器簽名安全性原則時需要選擇證明者,用於對您的目標容器進行可信授權。建議輸入便於識別的名稱。
選擇認證
在認證列表中選擇您已建立的KMS密鑰。
描述
輸入該證明者的備忘資訊。
在安全性原則頁簽中,單擊添加策略,完成配置後並單擊確定,完成策略的建立。
配置項
說明
策略名稱稱
配置簽名安全性原則時需要選擇證明者,用於對您的目的地組群進行可信授權。
建議輸入便於識別的名稱。
證明者
在證明者列表中選擇您已建立的證明者。
應用叢集
單擊需要進行容器簽名的叢集分組後,選中目標叢集命名空間。
策略開啟狀態
單擊開關,建立策略後策略會立即啟用。
說明預設不開啟策略。策略如果未開啟將不會生效。
備忘
輸入安全性原則的備忘資訊。
成功建立並啟用容器簽名安全性原則後,在Container Registry控制台中,已開啟安全性原則的容器鏡像會標識為可信的鏡像。
相關文檔
使用Container RegistryACR(Container Registry)、Key Management Service(Key Management Service)、kritis-validation-hook組件結合Security Center(Security Center)可實現自動驗證容器鏡像簽名,確保只部署可信授權方簽名的容器鏡像,降低在您環境中發生意外或惡意代碼的風險。具體內容,請參見使用kritis-validation-hook組件實現自動驗證容器鏡像簽名。