nCosign l Sigstoreプロジェクトのツール l AWSだとKMSと連携して署名・検証が可能 l Finchに統合されている署名検証ツール nNotary l CNCFホストのプロジェクト l AWS Signer プラグインを⽤いてECR統合が可能 コンテナイメージ署名とは タグベース OCI準拠
SignerではNotaryを使う nCosign l Sigstoreプロジェクトのツール l AWSだとKMSと連携して署名・検証が可能 l Finchに統合されている署名検証ツール nNotary l CNCFホストのプロジェクト l AWS Signer プラグインを⽤いてECR統合が可能 コンテナイメージ署名とは タグベース OCI準拠
nAWS CodeCommit l Dockerfile l 各種ソースファイル nAWS CodeBuild l Notaryクライアントのセットアップ l コンテナイメージへの署名(notation sign) l Amazon ECRにイメージをPush イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Source Pull Image Push Amazon ECR AWS Signer Im age Signing
nAWS CodeCommit l Dockerfile l 各種ソースファイル nAWS CodeBuild l Notaryクライアントのセットアップ l コンテナイメージへの署名(notation sign) l Amazon ECRにイメージをPush イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Source Pull Image Push Amazon ECR AWS Signer Im age Signing
その① Lambdaでいけたのでは?→できてそうだった イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 n AWSの中の⼈のブログ l https://containersonaws.com/pattern/ecs-fargate-container-image-signing- and-verification
Sigstore l https://www.sigstore.dev/ n Signing container images: Comparing Sigstore, Notary, and Docker Content Trust l https://snyk.io/jp/blog/signing-container-images/ n Content trust in Docker l https://docs.docker.com/engine/security/trust/ n opencontainers/image-spec l https://github.com/opencontainers/image-spec n Container image signing and verification using AWS Signer for Amazon ECS and AWS Fargate l https://containersonaws.com/pattern/ecs-fargate-container-image-signing-and-verification n Amazon Web Services ブログ 「コンテナにおけるデジタル署名」 l https://aws.amazon.com/jp/blogs/news/cryptographic-signing-for-containers/ n Understanding OCI artifacts l https://oras.land/docs/concepts/artifact/ 参考⽂献