デプロイ中にコンテナイメージの署名を検証する - アマゾン EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

デプロイ中にコンテナイメージの署名を検証する

AWS Signer を使用し、デプロイ時に署名済みのコンテナイメージを検証したい場合は、次のいずれかのソリューションが使用可能です。

  • Gatekeeper と Ratify — Gatekeeper をアドミッションコントローラーとして使用し、AWS Signer プラグインで構成された Ratify を署名を検証するためのウェブフックとして使用します。

  • Kyverno — 署名を検証するための AWS Signer プラグインで構成された Kubernetes ポリシーエンジン。

注記

コンテナイメージの署名を検証する前に、選択したアドミッションコントローラーの要求に応じて、Notation トラストストアとトラストポリシーを構成します。