在部署期间验证容器映像签名 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

在部署期间验证容器映像签名

如果您在部署时使用 Amazon Signer 并且想要验证已签名的容器镜像,则可以使用以下解决方案之一:

  • Gatekeeper 和 Ratify – 将 Gatekeeeper 用作准入控制器,并将配置了 Amazon Signer 插件的 Ratify 作为用于验证签名的 Webhook。

  • Kyverno – 配置有用于验证签名的 Amazon Signer 插件的 Kubernetes 策略引擎。

注意

在验证容器镜像签名之前,请根据所选准入控制器的要求配置 Notation 信任存储和信任策略。