容器签名 - 云安全中心

容器签名可实现对容器镜像的可信签名，确保只允许部署您认可的容器镜像，防止未经签名授权的镜像启动，从根本上帮助您提升资产的安全性。

版本限制

仅云安全中心的旗舰版支持该功能，其他版本不支持。购买和升级云安全中心服务的具体操作，请参见购买云安全中心和升级与降配。

已创建了非对称加密算法的KMS密钥。有关创建KMS密钥的详细内容，请参见创建密钥。

注意由于非对称密钥算法才支持容器签名功能，创建KMS密钥时，密钥类型必须选择RSA_2048，密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容，请参见KMS支持的算法规格说明。
已创建了Kubernetes集群，并且集群已安装了kritis-validation-hook组件。
创建Kubernetes集群的具体操作，请参见创建Kubernetes专有版集群。

有关kritis-validation-hook组件的更多信息，请参见kritis-validation-hook组件介绍。
首次使用容器签名，需要先完成云资产访问授权。

可选：在证明者页签中创建证明者。

如果您已创建过证明者，可直接进入步骤3。

您可在证明者页签中单击创建证明者，完成配置后并单击确定，完成证明者的创建。


配置项	说明
证明者名称	配置容器签名安全策略时需要选择证明者，用于对您的目标容器进行可信授权。建议输入便于识别的名称。
选择证书	在证书列表中选择您已创建的KMS密钥。
描述	输入该证明者的备注信息。

在安全策略页签中，单击添加策略，完成配置后并单击确定，完成策略的创建。


配置项	说明
策略名称	配置签名安全策略时需要选择证明者，用于对您的目标集群进行可信授权。建议输入便于识别的名称。
证明者	在证明者列表中选择您已创建的证明者。
应用集群	单击需要进行容器签名的集群分组后，选中目标集群命名空间。
策略开启状态	单击开关，创建策略后策略会立即启用。说明默认不开启策略。策略如果未开启将不会生效。
备注	输入安全策略的备注信息。

成功创建并启用容器签名安全策略后，已开启安全策略的容器镜像会标识为可信的镜像。