容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。
版本限制
前提条件
已创建了非对称加密算法的KMS密钥。 有关创建KMS密钥的详细内容,请参见管理密钥。
重要由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048,密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容,请参见KMS支持的算法规格说明。
已创建了Kubernetes集群,并且集群已安装了kritis-validation-hook组件。
创建Kubernetes集群的具体操作,请参见创建Kubernetes专有版集群。
有关kritis-validation-hook组件的更多信息,请参见kritis-validation-hook组件介绍。
首次使用容器签名,需要先完成云资产访问授权。
操作步骤
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏选择。
可选:在证明者页签中创建证明者。
如果您已创建过证明者,可直接进入下一步骤。
您可在证明者页签中单击创建证明者,完成配置后单击确定,完成证明者的创建。
配置项
说明
证明者名称
配置容器签名安全策略时需要选择证明者,用于对您的目标容器进行可信授权。建议输入便于识别的名称。
选择证书
在证书列表中选择您已创建的KMS密钥。
描述
输入该证明者的备注信息。
在安全策略页签中,单击添加策略,完成配置后并单击确定,完成策略的创建。
配置项
说明
策略名称
配置签名安全策略时需要选择证明者,用于对您的目标集群进行可信授权。
建议输入便于识别的名称。
证明者
在证明者列表中选择您已创建的证明者。
应用集群
单击需要进行容器签名的集群分组后,选中目标集群命名空间。
策略开启状态
单击开关,创建策略后策略会立即启用。
说明默认不开启策略。策略如果未开启将不会生效。
备注
输入安全策略的备注信息。
成功创建并启用容器签名安全策略后,在容器镜像服务控制台中,已开启安全策略的容器镜像会标识为可信的镜像。
相关文档
使用容器镜像服务ACR(Container Registry)、密钥管理服务KMS(Key Management Service)、kritis-validation-hook组件结合云安全中心(Security Center)可实现自动验证容器镜像签名,确保只部署可信授权方签名的容器镜像,降低在您环境中发生意外或恶意代码的风险。具体内容,请参见使用kritis-validation-hook组件实现自动验证容器镜像签名。