13장. 이미지 서명 확인
RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 사용하면 사전 구성된 키에 대해 이미지 서명을 확인하여 클러스터에서 컨테이너 이미지의 무결성을 보장할 수 있습니다.
서명이 확인되지 않은 서명이 없는 이미지를 차단하는 정책을 생성할 수 있습니다. RHACS 승인 컨트롤러를 사용하여 무단 배포 생성을 중지하여 정책을 적용할 수도 있습니다.
참고
13.1. 서명 통합 구성
이미지 서명 확인을 수행하기 전에 RHACS에서 서명 통합을 생성해야 합니다.
서명 통합은 여러 검증 방법으로 구성할 수 있습니다. 다음과 같은 확인 방법이 지원됩니다.
- 공개 키 공동 서명
- 인증서 공동 서명
13.1.1. Cosign 공개 키 구성
사전 요구 사항
- PEM 인코딩 Cosign 공개 키가 이미 있어야 합니다. Cosign에 대한 자세한 내용은 Cosign 개요 를 참조하십시오.
프로세스
-
RHACS 포털에서 플랫폼 구성
통합을 선택합니다. - 서명 통합으로 스크롤하고 서명을 클릭합니다.
- 새 통합을 클릭합니다.
- 통합 이름의 이름을 입력합니다.
-
Cosign 공개 키
새 공개 키 추가를 클릭합니다. - 공개 키 이름을 입력합니다.
- 공개 키 값 필드에 PEM 인코딩 공개 키를 입력합니다.
- (선택 사항) 새 공개 키 추가를 클릭하고 세부 정보를 입력하여 두 개 이상의 키를 추가할 수 있습니다.
- 저장을 클릭합니다.
13.1.2. Cosign 인증서 구성
사전 요구 사항
- 인증서 ID 및 발행자가 이미 있어야 합니다. 선택적으로 PEM 인코딩 인증서 및 체인도 필요합니다. Cosign 인증서에 대한 자세한 내용은 Cosign 인증서 확인을참조하십시오.
프로세스
-
RHACS 포털에서 플랫폼 구성
통합을 선택합니다. - 서명 통합으로 스크롤하고 서명을 클릭합니다.
- 새 통합을 클릭합니다.
- 통합 이름의 이름을 입력합니다.
-
Cosign 인증서
새 인증서 확인 추가 를 클릭합니다. - 인증서 OIDC 발급 자를 입력합니다. RE2 구문 에서 정규식을 선택적으로 사용할 수 있습니다.
- 인증서 ID 를 입력합니다. RE2 구문 에서 정규식을 선택적으로 사용할 수 있습니다.
- (선택 사항) 인증서를 확인하기 위해 인코딩된 인증서 체인 PEM 을 입력합니다. 체인을 제공하지 않으면 인증서가 Fulcio 루트에 대해 검증됩니다.
- (선택 사항) 서명을 확인하기 위해 인코딩된 인증서 PEM 을 입력합니다.
- (선택 사항) 새 인증서 확인 추가를 클릭하고 세부 정보를 입력하여 두 개 이상의 인증서 확인을 추가할 수 있습니다.
- 저장을 클릭합니다.
