8.6. Fulcio 및 Rekor를 사용하여 sigstore 서명으로 컨테이너 이미지 확인

프로세스

1. /etc/containers/registries.conf.d/default.yaml 파일에 다음 내용을 추가합니다.

   docker:
       <registry>:
           use-sigstore-attachments: true

   Copy to Clipboard Toggle word wrap

   • use-sigstore-attachments 옵션을 설정하면 Podman 및 Skopeo에서 컨테이너 sigstore 서명을 이미지와 함께 읽고 쓸 수 있으며 서명된 이미지와 동일한 리포지토리에 저장할 수 있습니다.

     참고

     /etc/containers/registries.d 디렉터리의 YAML 파일에서 registry 또는 repository 구성 섹션을 편집할 수 있습니다. 단일 범위(default-docker, registry 또는 namespace)는 /etc/containers/registries.d 디렉터리 내의 하나의 파일에만 존재할 수 있습니다. /etc/containers/registries.d/default.yaml 파일에서 시스템 전체 레지스트리 구성을 편집할 수도 있습니다. 모든 YAML 파일을 읽고 파일 이름은 임의의 것입니다.

2. /etc/containers/policy.json 파일에 fulcio 섹션과 rekorPublicKeyPath 또는 rekorPublicKeyData 필드를 추가합니다.

   {
       ...
       "transports": {
   	"docker": {
           "<registry>/<namespace>": [
               {
               "type": "sigstoreSigned",
               "fulcio": {
                   "caPath": "/path/to/local/CA/file",
                   "oidcIssuer": "https://expected.OIDC.issuer/",
                   "subjectEmail", "expected-signing-user@example.com",
               },
               "rekorPublicKeyPath": "/path/to/local/public/key/file",
               }
           ]
       ...
   	}
     }
     ...
   }

   Copy to Clipboard Toggle word wrap
   • fulcio 섹션은 서명이 Fulcio 발급된 인증서를 기반으로 한다는 것을 제공합니다.
   • Fulcio 인스턴스의 CA 인증서가 포함된 caPath 및 caData 필드 중 하나를 지정해야 합니다.
   • oidcIssuer 와 subjectEmail 은 모두 필수이며 예상되는 ID 공급자와 Fulcio 인증서를 가져오는 사용자의 ID를 정확하게 지정합니다.
   • rekorPublicKeyPath 및 rekorPublicKeyData 필드 중 하나를 지정해야 합니다.

3. 이미지를 가져옵니다.

   $ podman pull <registry>/<namespace>/<image>

   Copy to Clipboard Toggle word wrap