Red Hat SummitYou are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
第9章 イメージの署名の確認
Red Hat Advanced Cluster Security for Kubernetes (RHACS) を使用して、事前に設定されたキーに対してイメージ署名を検証することで、クラスター内のコンテナーイメージの整合性を確保できます。
署名されていないイメージや署名が確認されていないイメージをブロックするポリシーを作成できます。RHACS 受付コントローラーを使用してポリシーを適用し、不正なデプロイメントの作成を停止することもできます。
注記
- RHACS 3.70 は、Cosign 署名および Cosign 公開鍵署名の検証のみをサポートします。Cosign の詳細は、Cosign overview を参照してください。
- 署名の検証には、1 つ以上の Cosign 公開鍵との署名統合を設定する必要があります。
すべてのデプロイおよび監視されたイメージに対して以下を実行します。
- RHACS は署名を 4 時間ごとに取得および検証します。
- RHACS は、署名インテグレーションの公開鍵を変更または更新するたびに署名を検証します。
9.1. 署名統合の設定
イメージ署名の検証を実行する前に、最初に RHACS に Cosign 公開鍵を追加する必要があります。
前提条件
- PEM でエンコードされた Cosign 公開鍵がすでに存在している必要があります。Cosign の詳細は、Cosign overview を参照してください。
手順
-
RHACS ポータルで、Platform Configuration
Integrations を選択します。 - Signature Integrations セクションまで下方向にスクロールし、Signature クリックします。
- New integration をクリックします。
- Integration name の名前を入力します。
-
Cosign
Add a new public key をクリックします。 - Public key 名を入力します。
- Public key value フィールドに、PEM でエンコードされた公開鍵を入力します。
- (オプション)Add a new public key をクリックして詳細を入力すると、複数のキーを追加できます。
- Save をクリックします。
