容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。

前提条件

使用容器签名功能前,您需要先完成以下操作:
  • 已创建了非对称加密算法的KMS密钥。

    有关创建KMS密钥的详细内容,请参见创建密钥

    注意 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容,请参见KMS支持的算法规格说明
  • 已创建了Kubernetes集群,并且集群已安装了kritis-validation-hook组件。

    创建Kubernetes集群的具体操作,请参见创建Kubernetes专有版集群

    有关kritis-validation-hook组件的更多信息,请参见kritis-validation-hook组件介绍

  • 首次使用容器签名,需要先完成云资产访问授权。授权

版本限制说明

仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全运营 > 容器签名
  3. 可选:容器签名 > 证明者页签中创建证明者。
    如果您已创建过证明者,可直接进入步骤4。

    您可在证明者页签中单击创建证明者,完成配置后并单击确定,完成证明者的创建。

    创建证明者的配置说明如下。

    参数 描述
    证明者名称 配置容器签名安全策略时需要选择证明者,用于对您的目标容器进行可信授权。建议输入便于识别的名称。
    选择证书 在证书列表中选择您已创建的KMS密钥。
    注意 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容,请参见KMS支持的算法规格说明
    描述 输入该证明者的备注信息。
  4. 创建安全策略。

    您可在安全策略页签中,单击添加策略,完成配置后并单击确定,完成策略的创建。

    添加策略的配置说明如下。

    参数 描述
    策略名称 配置签名安全策略时需要选择证明者,用于对您的目标集群进行可信授权。

    建议输入便于识别的名称。
    证明者 在证明者列表中选择您已创建的证明者。

    具体操作,请参见步骤3
    应用集群 单击需要进行容器签名的集群分组后,选中目标集群命名空间
    策略开启状态 单击开关,创建策略后策略会立即启用。
    说明 默认不开启策略。策略如果未开启将不会生效。
    备注 输入安全策略的备注信息。

后续步骤

成功创建并启用容器签名安全策略后,已开启安全策略的容器镜像会标识为可信的镜像
说明 目前暂不支持展示可信标签。