容器镜像服务ACR(Alibaba Cloud Container Registry)支持镜像加签功能,保障镜像从分发到部署的全链路一致性,避免中间人攻击和非法镜像的更新及运行。ACR支持命名空间级别的自动加签,每次推送容器镜像后都会匹配加签规则自动加签,保障您的容器镜像内容可信。
创建非对称密钥
- 登录密钥管理服务开通页。
- 在页面左上角的地域下拉列表,选择密钥所在的地域。
- 在控制台左侧导航栏,单击用户主密钥,然后单击创建密钥。
- 在创建密钥对话框配置参数,然后单击确定。
容器签名功能需要非对称密钥算法的支持,创建KMS密钥时,密钥类型需选择EC或RSA,密钥用途需选择SIGN或VERIFY。其他参数配置请参见
创建密钥。
授权容器镜像服务使用KMS密钥
为了让ACR可以读取到您账号下的非对称密钥,需要在您的账号上配置以下RAM策略。
- 登录RAM控制台。
- 在控制台左侧导航栏中选择 RAM角色管理。
- 在RAM角色管理页面创建AliyunContainerRegistryKMSRole角色。
- 在RAM角色管理页面单击创建RAM角色。
- 在选择类型配置向导中选择当前可信实体类型,然后单击下一步。
- 在配置角色中设置角色名称为AliyunContainerRegistryKMSRole,并选择云账号,然后单击完成。
- 修改信任策略。
- 在RAM角色管理页面找到AliyunContainerRegistryKMSRole,单击RAM角色名称列下的AliyunContainerRegistryKMSRole。
- 单击信任策略管理页签,然后单击修改信任策略。
- 在修改信任策略面板修改信任策略,然后单击确定。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"cr.aliyuncs.com"
]
}
}
],
"Version": "1"
}
- 新建AliyunContainerRegistryKMSRolePolicy策略。
- 在控制台左侧导航栏中,单击权限策略管理。
- 在权限策略管理页面单击创建权限策略。
- 在新建自定义权限策略页面设置策略名称为AliyunContainerRegistryKMSRolePolicy,配置模式为脚本配置,在文本框中输入策略内容,然后单击确定。
说明 您需要根据实际清理替换region和accountid。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:*"
],
"Resource": "acs:kms:${region}:${accountid}:*"
}
],
"Version": "1"
}
- 在左侧导航栏中,选择 RAM角色管理,在角色列表中,找到
AliyunContainerRegistryKMSRole 角色。
- 单击右侧操作列中的添加权限。
- 在权限类型中选择自定义策略,找到并选择
AliyunContainerRegistryKMSRolePolicy ,单击确定,完成添加。
配置证明者及验签策略
- 登录云安全中心。
- 在云安全中心控制台,选择左侧操作栏中的,创建证明者并关联相应的KMS密钥,用于容器镜像加签。
- 可选:新增验签策略,将证明者关联到对应的ACK集群。更多信息,请参见容器签名。
配置镜像自动加签规则
- 登录容器镜像服务控制台。
- 在顶部菜单栏,选择所需地域。
- 在左侧导航栏,选择实例列表。
- 在实例列表页面单击目标企业版实例。
- 在企业版实例管理页面左侧导航栏选择。单击添加加签规则。
- 在镜像加签页面单击添加加签规则。
- 在密钥配置的配置向导中选择在安全中心创建的证明者关联KMS Key。然后单击下一步。
- 在加签配置的配置向导中设置参数,然后单击创建加签规则。
说明 设置加签规则仅对该命名空间下所有新上传的镜像进行加签操作,存量的镜像不做加签操作。
- 加签算法:提供两种可选加签算法RSA_PSS_SHA_256或者RSA_PKCS1_SHA_256。
- 加签范围:目前支持命名空间级别自动加签,选择需要自动加签的命名空间。
- 触发方式:默认支持自动触发,每次推送镜像后,会自动触发加签。