第13章 イメージの署名の確認


Red Hat Advanced Cluster Security for Kubernetes (RHACS) を使用して、事前に設定されたキーに対してイメージ署名を検証することで、クラスター内のコンテナーイメージの整合性を確保できます。

署名されていないイメージや署名が確認されていないイメージをブロックするポリシーを作成できます。RHACS アドミッションコントローラーを使用してポリシーを適用し、無許可のデプロイメントの作成を停止することもできます。

注記
  • RHACS は、Cosign 署名と Cosign 公開鍵/証明書検証のみをサポートします。Cosign の詳細は、Cosign overview を参照してください。
  • Cosign 署名検証の場合、RHACS は透明性ログ Rekor との通信をサポートしていません。
  • 署名検証には、少なくとも 1 つの Cosign 検証方法を使用して署名統合を設定する必要があります。
  • すべてのデプロイおよび監視されたイメージに対して以下を実行します。

    • RHACS は署名を 4 時間ごとに取得および検証します。
    • RHACS は、署名統合検証データを変更または更新するたびに署名を検証します。

13.1. 署名統合の設定

イメージ署名の検証を実行する前に、まず RHACS で署名統合を作成する必要があります。

署名統合は複数の検証方法で設定できます。次の検証方法がサポートされています。

  • Cosign 公開鍵
  • Cosign 証明書

13.1.1. Cosign 公開鍵の設定

前提条件

  • PEM でエンコードされた Cosign 公開鍵がすでに存在している必要があります。Cosign の詳細は、Cosign overview を参照してください。

手順

  1. RHACS ポータルで、Platform Configuration Integrations を選択します。
  2. Signature Integrations までスクロールし、Signature をクリックします。
  3. New integration をクリックします。
  4. Integration name の名前を入力します。
  5. Cosign public Keys Add a new public key をクリックします。
  6. Public key 名を入力します。
  7. Public key value フィールドに、PEM でエンコードされた公開鍵を入力します。
  8. (オプション)Add a new public key をクリックして詳細を入力すると、複数のキーを追加できます。
  9. Save をクリックします。

13.1.2. Cosign 証明書の設定

前提条件

  • 証明書のアイデンティティーと発行者がある。オプションで、PEM でエンコードされた証明書とチェーンがある。Cosign 証明書の詳細は、Cosign 証明書の検証 を参照してください。

手順

  1. RHACS ポータルで、Platform Configuration Integrations を選択します。
  2. Signature Integrations までスクロールし、Signature をクリックします。
  3. New integration をクリックします。
  4. Integration name の名前を入力します。
  5. Cosign certificates Add a new certificate verification をクリックします。
  6. Certificate OIDC Issuer を入力します。RE2 構文 ではオプションで正規表現を使用できます。
  7. Certificate identity を入力します。RE2 構文 ではオプションで正規表現を使用できます。
  8. (オプション) 証明書を検証するために Certificate Chain PEM encoded を入力します。チェーンが提供されていない場合、証明書は Fulcio ルートに対して検証されます。
  9. (オプション) 署名を検証するために PEM でエンコードされた証明書 を入力します。
  10. (オプション) Add a new certificate verification をクリックして詳細を入力すると、複数の証明書検証を追加できます。
  11. Save をクリックします。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.