容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。

前提条件

使用容器签名功能前,您需要先完成以下操作:
  • 已创建了非对称加密算法的KMS密钥。

    有关创建KMS密钥的详细内容,请参见创建密钥

    说明 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。KMS密钥算法的详细内容请参见密钥的算法
  • 已创建了部署在香港地域的Kubernetes集群,并且集群已安装了kritis-validation-hook组件。
    说明 目前,仅部署在香港地域的Kubernetes集群支持容器签名。

    有关创建Kubernetes集群的详细内容,请参见创建Kubernetes集群

    有关kritis-validation-hook组件的详细内容,请参见组件介绍

  • 首次使用容器签名,需要先完成云资产访问授权。授权

限制说明

仅云安全中心企业版支持容器签名,基础版、基础杀毒版和高级版需要升级到企业版后才能使用该功能。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全运营 > 容器签名
  3. 可选:容器签名 > 证明者页签中创建证明者。
    如果您已创建过证明者,可直接进入步骤4。

    您可在证明者页签中单击创建证明者,完成配置后并单击确定,完成证明者的创建。

    创建证明者的配置说明如下。

    参数 描述
    证明者名称 配置容器签名安全策略时需要选择证明者,用于对您的目标容器进行可信授权。建议输入便于识别的名称。
    选择证书 在证书列表中选择您已创建的KMS密钥。
    说明 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型必须选择RSA_2048密钥用途必须选择SIGN/VERIFY。KMS密钥算法的详细内容请参见密钥的算法
    描述 输入该证明者的备注信息。
  4. 创建安全策略。

    您可在安全策略页签中单击添加策略,完成配置后并单击确定,完成策略的创建。

    添加策略的配置说明如下。

    参数 描述
    策略名称 配置签名安全策略时需要选择证明者,用于对您的目标集群进行可信授权。

    建议输入便于识别的名称。

    证明者 在证明者列表中选择您已创建的证明者。

    详细操作请参见步骤3

    应用集群 单击需要进行容器签名的集群分组后,选中目标集群命名空间
    策略开启状态 单击开关,创建策略后策略会立即启用。
    说明 默认不开启策略。策略如果未开启将不会生效。
    备注 输入安全策略的备注信息。

后续步骤

成功创建并启用容器签名安全策略后,已开启安全策略的容器镜像会标识为可信的镜像
说明 目前暂不支持展示可信标签,该功能将于近期上线。