容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

前提条件

  • 已创建了非对称加密算法的KMS密钥。 有关创建KMS密钥的详细内容,请参见创建密钥
    注意 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。关于KMS密钥算法的详细内容,请参见KMS支持的算法规格说明
  • 已创建了Kubernetes集群,并且集群已安装了kritis-validation-hook组件。

    创建Kubernetes集群的具体操作,请参见创建Kubernetes专有版集群

    有关kritis-validation-hook组件的更多信息,请参见kritis-validation-hook组件介绍

  • 首次使用容器签名,需要先完成云资产访问授权。授权

操作步骤

  1. 登录云安全中心控制台在左侧导航栏选择防护配置 > 容器防护 > 容器签名
  2. 可选:证明者页签中创建证明者。
    如果您已创建过证明者,可直接进入步骤3。

    您可在证明者页签中单击创建证明者,完成配置后并单击确定,完成证明者的创建。

    配置项 说明
    证明者名称 配置容器签名安全策略时需要选择证明者,用于对您的目标容器进行可信授权。建议输入便于识别的名称。
    选择证书 在证书列表中选择您已创建的KMS密钥。
    描述 输入该证明者的备注信息。
  3. 安全策略页签中,单击添加策略,完成配置后并单击确定,完成策略的创建。
    配置项 说明
    策略名称 配置签名安全策略时需要选择证明者,用于对您的目标集群进行可信授权。

    建议输入便于识别的名称。

    证明者 在证明者列表中选择您已创建的证明者。
    应用集群 单击需要进行容器签名的集群分组后,选中目标集群命名空间
    策略开启状态 单击开关,创建策略后策略会立即启用。
    说明 默认不开启策略。策略如果未开启将不会生效。
    备注 输入安全策略的备注信息。
    成功创建并启用容器签名安全策略后,已开启安全策略的容器镜像会标识为可信的镜像