容器签名

容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

前提条件

  • 已创建了非对称加密算法的KMS密钥。 有关创建KMS密钥的详细内容,请参见管理密钥

    重要

    由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容,请参见KMS支持的算法规格说明

  • 已创建了Kubernetes集群,并且集群已安装了kritis-validation-hook组件。

    创建Kubernetes集群的具体操作,请参见创建Kubernetes专有版集群

    有关kritis-validation-hook组件的更多信息,请参见kritis-validation-hook组件介绍

  • 首次使用容器签名,需要先完成云资产访问授权。授权

操作步骤

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏选择防护配置 > 容器防护 > 容器签名

  3. 可选:证明者页签中创建证明者。

    如果您已创建过证明者,可直接进入下一步骤。

    您可在证明者页签中单击创建证明者,完成配置后单击确定,完成证明者的创建。

    配置项

    说明

    证明者名称

    配置容器签名安全策略时需要选择证明者,用于对您的目标容器进行可信授权。建议输入便于识别的名称。

    选择证书

    在证书列表中选择您已创建的KMS密钥。

    描述

    输入该证明者的备注信息。

  4. 安全策略页签中,单击添加策略,完成配置后并单击确定,完成策略的创建。

    配置项

    说明

    策略名称

    配置签名安全策略时需要选择证明者,用于对您的目标集群进行可信授权。

    建议输入便于识别的名称。

    证明者

    在证明者列表中选择您已创建的证明者。

    应用集群

    单击需要进行容器签名的集群分组后,选中目标集群命名空间

    策略开启状态

    单击开关,创建策略后策略会立即启用。

    说明

    默认不开启策略。策略如果未开启将不会生效。

    备注

    输入安全策略的备注信息。

    成功创建并启用容器签名安全策略后,在容器镜像服务控制台中,已开启安全策略的容器镜像会标识为可信的镜像

相关文档

使用容器镜像服务ACR(Container Registry)、密钥管理服务KMS(Key Management Service)、kritis-validation-hook组件结合云安全中心(Security Center)可实现自动验证容器镜像签名,确保只部署可信授权方签名的容器镜像,降低在您环境中发生意外或恶意代码的风险。具体内容,请参见使用kritis-validation-hook组件实现自动验证容器镜像签名