Подпишите образы контейнеров с использованием Notation и Artifact Signing.

Эта статья является частью серии по обеспечению целостности и подлинности образов контейнеров и других артефактов Open Container Initiative (OCI). Для полного рисунка начните с обзора, в котором объясняется, почему подписывание имеет значение и описывает различные сценарии.

В этой статье основное внимание уделяется подписанию с использованием инструментов проекта Notary, нотации и подписывания артефактов:

Что вы узнаете здесь: как использовать интерфейс командной строки Notation (CLI) для подписания артефактов с помощью Artifact Signing.
Применение: Подпись артефактов — это альтернатива Azure Key Vault. Хотя Key Vault предоставляет организациям полный контроль над управлением жизненным циклом сертификатов, Artifact Signing обеспечивает упрощенный интерфейс подписывания с полностью автоматизированным управлением жизненным циклом сертификатов и короткоживущими сертификатами.
Почему это важно: Подписывание артефактов упрощает работу разработчика, обеспечивая надежную гарантию идентификации. Это помогает командам снизить операционную сложность без ущерба для безопасности.

Предпосылки

Прежде чем можно будет подписывать и проверять образы контейнеров с помощью Notation и Artifact Signing, необходимо настроить ресурсы Azure и установить нужные инструменты. В этом разделе описывается, как подготовить реестр контейнеров Azure, настроить подпись артефактов и настроить Azure CLI в качестве вашей среды разработки.

Подготовка образов контейнеров в реестре контейнеров Azure

Создайте или используйте реестр контейнеров для хранения образов контейнеров, артефактов OCI и подписей.
Загрузите или используйте образ контейнера в ваш реестр контейнеров.

Настройка подписи артефактов

Настройте учетную запись подписи артефакта и профиль сертификата в подписке Azure.

Профиль сертификата должен содержать страну или регион (C), штат или провинцию (ST или S) организацию (O) в субъекте сертификата. Для спецификации нотаричного проекта требуются эти поля.

Настройка Azure CLI

Установите Azure CLI или используйте Azure Cloud Shell.

Установите Notation CLI и плагин для подписи артефактов.

В этом руководстве выполняются команды в Linux AMD64 и Windows в качестве примеров.

Установите Notation CLI версии 1.3.2:

Линукс
Виндоус

curl -Lo notation.tar.gz https://github.com/notaryproject/notation/releases/download/v1.3.2/notation_1.3.2_linux_amd64.tar.gz
# Validate the checksum
EXPECTED_SHA256SUM="e1a0f060308086bf8020b2d31defb7c5348f133ca0dba6a1a7820ef3cbb6dfe5"
echo "$EXPECTED_SHA256SUM  notation.tar.gz" | sha256sum -c -
# Continue if sha256sum matches
tar xvzf notation.tar.gz
cp ./notation /usr/local/bin

# Download the Windows release
Invoke-WebRequest -Uri "https://github.com/notaryproject/notation/releases/download/v1.3.2/notation_1.3.2_windows_amd64.zip" -OutFile notation.zip
# Validate the checksum
$EXPECTED_SHA256SUM = "014f25a530eee17520c8e1eb7380e4bd02ff6fc04479a07a890954e3b7ddfdc7"
if ((Get-FileHash notation.zip -Algorithm SHA256).Hash -ne $EXPECTED_SHA256SUM) { Write-Error "Checksum mismatch"; exit 1 }
# Expand and install
Expand-Archive notation.zip -DestinationPath .
# Create the installation location and move the binary to it
New-Item -ItemType Directory -Force -Path "$Env:ProgramFiles\Notation" | Out-Null
Move-Item -Path ".\notation\notation.exe" -Destination "$Env:ProgramFiles\Notation\notation.exe"
# Add to PATH for the current session
$env:PATH = "${Env:ProgramFiles}\Notation;${Env:PATH}"

Для других платформ см. руководство по установке нотации.

Установите плагин для подписывания артефактов:

Линукс
Виндоус

notation plugin install --url "https://github.com/Azure/artifact-signing-notation-plugin/releases/download/v1.0.0/notation-azure-artifactsigning_1.0.0_linux_amd64.tar.gz" --sha256sum 2f45891a14aa9c88c9bee3d11a887c1adbe9d2d24e50de4bc4b4fa3fe595292f

notation plugin install --url "https://github.com/Azure/artifact-signing-notation-plugin/releases/download/v1.0.0/notation-azure-artifactsigning_1.0.0_windows_amd64.zip" --sha256sum adf5e3d7f1fa41db9786d0ed5362e9b61c4def0e694da33fdb2ad2dd44cd57b7

Ознакомьтесь с последним URL-адресом и хэш-суммой подключаемого модуля на странице выпуска.

Проверьте установку подключаемого модуля:

Линукс
Виндоус

notation plugin ls

notation plugin ls

Пример выходных данных:

NAME                    DESCRIPTION                                             VERSION   CAPABILITIES                ERROR
azure-artifactsigning   Sign OCI artifacts using the Artifact Signing Service   1.0.0     [SIGNATURE_GENERATOR.RAW]   <nil>

Настройка переменных среды

Задайте следующие переменные среды для использования в последующих командах. Замените заполнители фактическими значениями.

Необходимые значения можно найти на портале Azure:

Для информации об учетной записи подписывания артефактов перейдите в свою учетную запись и выберите Обзор.
Для получения информации о профиле сертификата перейдите в свою учетную запись и выберите Объекты>Профили сертификатов.

Линукс
Виндоус

# Artifact Signing environment variables
AS_SUB_ID="<subscription-id>"
AS_ACCT_RG=<ts-account-resource-group>
AS_ACCT_NAME=<ts-account-name>
AS_ACCT_URL=<ts-account-url>
AS_CERT_PROFILE=<ts-cert-profile>
AS_CERT_SUBJECT=<ts-cert-subject>
AS_SIGNING_ROOT_CERT="https://www.microsoft.com/pkiops/certs/Microsoft%20Enterprise%20Identity%20Verification%20Root%20Certificate%20Authority%202020.crt"
AS_TSA_URL="http://timestamp.acs.microsoft.com/"
AS_TSA_ROOT_CERT="http://www.microsoft.com/pkiops/certs/microsoft%20identity%20verification%20root%20certificate%20authority%202020.crt"

# Azure Container Registry and image environment variables
ACR_SUB_ID="<acr-subscription-id>"
ACR_RG=<acr-resource-group>
ACR_NAME=<registry-name>
ACR_LOGIN_SERVER=$ACR_NAME.azurecr.io
REPOSITORY=<repository>
TAG=<tag>
IMAGE=$ACR_LOGIN_SERVER/${REPOSITORY}:$TAG

# Artifact Signing environment variables (current session)
$env:AS_SUB_ID = "<subscription-id>"
$env:AS_ACCT_RG = "<ts-account-resource-group>"
$env:AS_ACCT_NAME = "<ts-account-name>"
$env:AS_ACCT_URL = "<ts-account-url>"
$env:AS_CERT_PROFILE = "<ts-cert-profile>"
$env:AS_CERT_SUBJECT = "<ts-cert-subject>"
$env:AS_SIGNING_ROOT_CERT = "https://www.microsoft.com/pkiops/certs/Microsoft%20Enterprise%20Identity%20Verification%20Root%20Certificate%20Authority%202020.crt"
$env:AS_TSA_URL = "http://timestamp.acs.microsoft.com/"
$env:AS_TSA_ROOT_CERT = "http://www.microsoft.com/pkiops/certs/microsoft%20identity%20verification%20root%20certificate%20authority%202020.crt"

# Azure Container Registry and image environment variables (current session)
$env:ACR_SUB_ID = "<acr-subscription-id>"
$env:ACR_RG = "<acr-resource-group>"
$env:ACR_NAME = "<registry-name>"
$env:ACR_LOGIN_SERVER = "$($env:ACR_NAME).azurecr.io"
$env:REPOSITORY = "<repository>"
$env:TAG = "<tag>"
$env:IMAGE = "$($env:ACR_LOGIN_SERVER)/$($env:REPOSITORY):$($env:TAG)"

Используйте Azure CLI для входа с помощью удостоверения пользователя:

Линукс
Виндоус

az login
USER_ID=$(az ad signed-in-user show --query id -o tsv)

az login
$USER_ID = az ad signed-in-user show --query id -o tsv

Замечание

В этом руководстве демонстрируется вход с помощью учетной записи пользователя. Другие параметры удостоверений, включая управляемое удостоверение, см. в статье "Аутентификация в Azure" с помощью Azure CLI.

Назначение разрешений для реестра контейнеров Azure и подписывания артефактов

Предоставьте учетной записи необходимые роли для доступа к реестру контейнеров:

Для реестров с поддержкой управления доступом на основе атрибутов (ABAC) назначьте:
- Container Registry Repository Reader
- Container Registry Repository Writer
Для реестров, отличных от ABAC, назначьте:
- AcrPull
- AcrPush

Линукс
Виндоус

az role assignment create --role "Container Registry Repository Reader" --assignee $USER_ID --scope "/subscriptions/$ACR_SUB_ID/resourceGroups/$ACR_RG/providers/Microsoft.ContainerRegistry/registries/$ACR_NAME"
az role assignment create --role "Container Registry Repository Writer" --assignee $USER_ID --scope "/subscriptions/$ACR_SUB_ID/resourceGroups/$ACR_RG/providers/Microsoft.ContainerRegistry/registries/$ACR_NAME"

az role assignment create --role "Container Registry Repository Reader" --assignee $USER_ID --scope "/subscriptions/$($env:ACR_SUB_ID)/resourceGroups/$($env:ACR_RG)/providers/Microsoft.ContainerRegistry/registries/$($env:ACR_NAME)"
az role assignment create --role "Container Registry Repository Writer" --assignee $USER_ID --scope "/subscriptions/$($env:ACR_SUB_ID)/resourceGroups/$($env:ACR_RG)/providers/Microsoft.ContainerRegistry/registries/$($env:ACR_NAME)"

Назначьте роль Artifact Signing Certificate Profile Signer вашему удостоверению, чтобы вы могли подписывать с использованием Artifact Signing.

Линукс
Виндоус

az role assignment create --assignee $USER_ID --role "Artifact Signing Certificate Profile Signer" --scope "/subscriptions/$AS_SUB_ID/resourceGroups/$AS_ACCT_RG/providers/Microsoft.CodeSigning/codeSigningAccounts/$AS_ACCT_NAME/certificateProfiles/$AS_CERT_PROFILE"

az role assignment create --assignee $USER_ID --role "Artifact Signing Certificate Profile Signer" --scope "/subscriptions/$($env:AS_SUB_ID)/resourceGroups/$($env:AS_ACCT_RG)/providers/Microsoft.CodeSigning/codeSigningAccounts/$($env:AS_ACCT_NAME)/certificateProfiles/$($env:AS_CERT_PROFILE)"

# Authenticate to Azure Container Registry
az acr login --name $ACR_NAME

# Download the timestamping root certificate
curl -o msft-tsa-root-certificate-authority-2020.crt $AS_TSA_ROOT_CERT

# Sign the image
notation sign --signature-format cose --timestamp-url $AS_TSA_URL --timestamp-root-cert "msft-tsa-root-certificate-authority-2020.crt" --id $AS_CERT_PROFILE --plugin azure-artifactsigning --plugin-config accountName=$AS_ACCT_NAME --plugin-config baseUrl=$AS_ACCT_URL --plugin-config certProfile=$AS_CERT_PROFILE $IMAGE

# Authenticate to Azure Container Registry
az acr login --name $Env:ACR_NAME

# Download the timestamping root certificate
Invoke-WebRequest -Uri $Env:AS_TSA_ROOT_CERT -OutFile msft-tsa-root-certificate-authority-2020.crt

# Sign the image
notation sign --signature-format cose --timestamp-url $Env:AS_ASA_URL --timestamp-root-cert "msft-tsa-root-certificate-authority-2020.crt" --id $Env:AS_CERT_PROFILE --plugin azure-artifactsigning --plugin-config accountName=$Env:AS_ACCT_NAME --plugin-config baseUrl=$Env:AS_ACCT_URL --plugin-config certProfile=$Env:AS_CERT_PROFILE $Env:IMAGE

Основные флаги описаны:

--signature-format cose: использует формат объектной подписи и шифрования CBOR (COSE) для создания подписей.
--timestamp-url: использует сервер метки времени, который поддерживает подписывание артефактов.
--plugin-config: передает конфигурацию подключаемого модуля подписи Артефакта.

Список подписанных изображений и подписей:

Линукс
Виндоус

notation ls $IMAGE

notation ls $Env:IMAGE

Пример выходных данных:

myregistry.azurecr.io/myrepo@sha256:5d0bf1e8f5a0c74a4c22d8c0f962a7cfa06a4f9d8423b196e482df8af23b5d55
└── application/vnd.cncf.notary.signature
    └── sha256:d3a4c9fbc17e27b19a0b28e7b6a33f2c0f541dbdf8d2e5e8d0d79a835e8a76f2a

Проверка образа контейнера

Скачайте и добавьте корневые сертификаты:

Линукс
Виндоус

curl -o msft-root-certificate-authority-2020.crt $AS_SIGNING_ROOT_CERT
SIGNING_TRUST_STORE="myRootCerts"
notation cert add --type ca --store $SIGNING_TRUST_STORE msft-root-certificate-authority-2020.crt

curl -o msft-tsa-root-certificate-authority-2020.crt $AS_TSA_ROOT_CERT
TSA_TRUST_STORE="myTsaRootCerts"
notation cert add -t tsa -s $TSA_TRUST_STORE msft-tsa-root-certificate-authority-2020.crt
notation cert ls

Invoke-WebRequest -Uri $Env:AS_SIGNING_ROOT_CERT -OutFile msft-root-certificate-authority-2020.crt
$SIGNING_TRUST_STORE = "myRootCerts"
notation cert add --type ca --store $SIGNING_TRUST_STORE msft-root-certificate-authority-2020.crt

Invoke-WebRequest -Uri $Env:AS_TSA_ROOT_CERT -OutFile msft-tsa-root-certificate-authority-2020.crt
$TSA_TRUST_STORE = "myTsaRootCerts"
notation cert add -t tsa -s $TSA_TRUST_STORE msft-tsa-root-certificate-authority-2020.crt
notation cert ls

Создайте JSON-файл политики доверия:

Линукс
Виндоус

cat <<EOF > trustpolicy.json
{
    "version": "1.0",
    "trustPolicies": [
        {
            "name": "myPolicy",
            "registryScopes": [ "$ACR_LOGIN_SERVER/$REPOSITORY" ],
            "signatureVerification": {
                "level" : "strict"
            },
            "trustStores": [ "ca:$SIGNING_TRUST_STORE", "tsa:$TSA_TRUST_STORE" ],
            "trustedIdentities": [
                "x509.subject: $AS_CERT_SUBJECT"
            ]
        }
    ]
}
EOF

Импортируйте и проверьте политику:

notation policy import trustpolicy.json
notation policy show

@"
{
    "version": "1.0",
    "trustPolicies": [
        {
            "name": "myPolicy",
            "registryScopes": [ "$($env:ACR_LOGIN_SERVER)/$($env:REPOSITORY)" ],
            "signatureVerification": {
                "level" : "strict"
            },
            "trustStores": [ "ca:$($SIGNING_TRUST_STORE)", "tsa:$($TSA_TRUST_STORE)" ],
            "trustedIdentities": [
                "x509.subject: $($env:AS_CERT_SUBJECT)"
            ]
        }
    ]
}
"@ | Out-File -FilePath trustpolicy.json -Encoding utf8

Импортируйте и проверьте политику:

notation policy import trustpolicy.json
notation policy show

Проверьте изображение:
- Линукс
- Виндоус
```
notation verify $IMAGE
```
```
notation verify $Env:IMAGE
```
Пример выходных данных:
```
Successfully verified signature for myregistry.azurecr.io/myrepo@sha256:5d0bf1e8f5a0c74a4c22d8c0f962a7cfa06a4f9d8423b196e482df8af23b5d55
```
Если проверка завершается ошибкой, убедитесь, что политика доверия и сертификаты настроены правильно.

Для подписания образов контейнеров в рабочем процессе GitHub см. "Подписывание образов контейнеров в рабочем процессе GitHub с использованием нотации и подписывания артефактов".
Сведения о проверке в рабочем процессе GitHub см. в статье "Проверка образов контейнеров в рабочем процессе GitHub с помощью нотации и подписывания артефактов".
Для проверки в службе Azure Kubernetes (AKS) см. "Verify container image signatures by using Ratify and Azure Policy".

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-22