Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.9.4. イメージ署名サポートの有効化

OpenShift Container Platform は、イメージが信頼済みのソースのものかを暗号で確認することができます。Container Security Guide には、イメージ署名の仕組みの概要が記載されています。

atomic コマンドラインインターフェイス (CLI) (バージョン 1.12.5 以降) を使用してイメージ署名の検証を設定できます。atomic CLI は RHEL Atomic Host システムにプリインストールされています。

注記

atomic CLI の詳細は、Atomic CLI についてのドキュメント を参照してください。

以下のファイルとディレクトリーは、ホストの信頼設定を設定しています。

  • /etc/containers/registries.d/*
  • /etc/containers/policy.json

信頼設定は、各ノードで直接管理するか、または個別のホストでファイルを管理でき、Ansible などを使用してそれらのファイルを適切なノードに配布できます。Ansible を使用したファイル配布の自動化の例については、Container Image Signing Integration Guide を参照してください。

  1. ホストシステムにインストールされていない場合は、atomic パッケージをインストールします。 

    $ yum install atomic
    Copy to Clipboard Toggle word wrap

  2. 現在の信頼設定を表示します。 

    $ atomic trust show
* (default)                         accept
    Copy to Clipboard Toggle word wrap

    デフォルト設定はすべてのレジストリーをホワイトリストに入れます。 つまり、署名の検証は設定されません。

  3. 信頼設定をカスタマイズします。以下の例では、1 つのレジストリーまたは namespace をホワイトリストに入れ、信頼されていないレジストリーをブラックリストに入れ (拒否) ます。 これには、ベンダーレジストリーでの署名の検証が必要になります。 

    $ atomic trust add --type insecureAcceptAnything 172.30.1.1:5000

$ atomic trust add --sigstoretype atomic \
  --pubkeys pub@example.com \
  172.30.1.1:5000/production

$ atomic trust add --sigstoretype atomic \
  --pubkeys /etc/pki/example.com.pub \
  172.30.1.1:5000/production

$ atomic trust add --sigstoretype web \
  --sigstore https://access.redhat.com/webassets/docker/content/sigstore \
  --pubkeys /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release \
  registry.redhat.io

# atomic trust show
* (default)                         accept
172.30.1.1:5000                     accept
172.30.1.1:5000/production          signed security@example.com
registry.redhat.io                  signed security@redhat.com,security@redhat.com
    Copy to Clipboard Toggle word wrap

  4. グローバル reject デフォルト信頼を追加してノードをさらに強化できます。 

    $ atomic trust default reject

$ atomic trust show
* (default)                         reject
172.30.1.1:5000                     accept
172.30.1.1:5000/production          signed security@example.com
registry.redhat.io                  signed security@redhat.com,security@redhat.com
    Copy to Clipboard Toggle word wrap
  5. オプションで、詳細のオプションについて atomic man ページ man atomic-trust を確認します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat