Assinando Imagens para Segurança

Após criar uma imagem e enviá-la ao Container Registry, você pode assinar a imagem usando uma chave de criptografia mestra obtida do Oracle Cloud Infrastructure Vault, criando uma assinatura de imagem. Observe que uma assinatura de imagem estará associada ao OCID de uma imagem, tornando-a específica a um envio específico da imagem.

Para assinar uma imagem e criar uma assinatura de imagem:

1. Crie uma imagem em sua própria máquina ou em seu sistema CI/CD (por exemplo, usando o comando docker build).

2. Envie a imagem ao Container Registry. Siga as instruções em Enviando Imagens Usando a CLI do Docker para:

   1. Faça log-in no Container Registry usando o comando docker login.

   2. Marque com tag a imagem que você deseja enviar usando o comando docker tag. Por exemplo:

      docker tag 8e0506e14874 phx.ocir.io/ansh81vru1zp/project01/acme-web-app:v2.0.test

   3. Envie a imagem ao Container Registry usando o comando docker push. Por exemplo:

      docker push phx.ocir.io/ansh81vru1zp/project01/acme-web-app:v2.0.test

3. Obtenha o OCID da imagem usando a Console (consulte Obtendo Detalhes de uma Imagem) ou usando a CLI (use o comando oci artifacts container image list --compartment-id <compartment_ocid> --repository-name <repository-name>).

4. Se você ainda não tiver acesso a uma chave assimétrica RSA no Oracle Cloud Infrastructure Vault, obtenha acesso a uma chave assimétrica RSA existente ou crie uma nova chave de criptografia mestra como uma chave assimétrica RSA (consulte Criando uma Chave de Criptografia Principal).

   Observe que o uso de chaves simétricas AES para assinar imagens não é suportado. Para obter mais informações sobre diferentes tipos de chave, consulte Visão Geral do Serviço Vault.

5. Anote o OCID da chave principal de criptografia e o OCID da versão da chave armazenada no Oracle Cloud Infrastructure Vault. Consulte Listando Chaves de Criptografia Principais.

6. Assine a imagem que você enviou ao Container Registry usando a chave principal e a versão da chave no serviço Vault, criando uma assinatura de imagem, digitando:

   oci artifacts container image-signature sign-upload --compartment-id <compartment-ocid> --kms-key-id <key-ocid> --kms-key-version-id <key-version-ocid> --signing-algorithm <signing-algorithm> --image-id <image-ocid> --description <signature-description> --metadata <image-metadata-json>

   em que:

   • --compartment-id <compartment-ocid> é o OCID do compartimento ao qual o repositório da imagem pertence. Por exemplo, --compartment-id ocid1.compartment.oc1..aaaaaaaa23______smwa

   • --kms-key-id <key-ocid> é o OCID da chave de criptografia mestra a ser usada para assinar a imagem. Por exemplo, --kms-key-id ocid1.key.oc1.phx.bbqehaq3aadfa.abyh______qlj

   • --kms-key-version-id <key-version-ocid> é o OCID da versão da chave a ser usada para assinar a imagem. Por exemplo, --kms-key-version-id ocid1.keyversion.oc1.phx.0.bbqehaq3aadfa.acy6______mbb

   • --signing-algorithm <signing-algorithm> é um dos seguintes algoritmos a serem usados para assinar a imagem:

     • SHA_224_RSA_PKCS_PSS

     • SHA_256_RSA_PKCS_PSS

     • SHA_384_RSA_PKCS_PSS

     • SHA_512_RSA_PKCS_PSS

     O algoritmo a ser escolhido depende do tipo da chave mestra de criptografia.

     Por exemplo, --signing-algorithm SHA_224_RSA_PKCS_PSS

   • --image-id <image-ocid> é o OCID da imagem a ser assinada. Por exemplo, --image-id ocid1.containerimage.oc1.phx.0.ansh81vru1zp.aaaaaaaalqzj______yks

   • --description <signature-description> é o texto opcional de sua escolha para descrever a imagem. A descrição é incluída como parte da assinatura e é mostrada na Console. Por exemplo, --description "Image for UAT testing"

   • --metadata <image-metadata-json> é uma informação opcional de sua escolha sobre a imagem, em um formato JSON válido (somente caracteres alfanuméricos, sem espaços em branco ou caracteres de escape). Por exemplo, --metadata {"buildnumber":"8447"}

   Por exemplo:

   oci artifacts container image-signature sign-upload --compartment-id ocid1.compartment.oc1..aaaaaaaa23______smwa --kms-key-id ocid1.key.oc1.phx.bbqehaq3aadfa.abyh______qlj --kms-key-version-id ocid1.keyversion.oc1.phx.0.bbqehaq3aadfa.acy6______mbb --signing-algorithm SHA_224_RSA_PKCS_PSS --image-id ocid1.containerimage.oc1.phx.0.ansh81vru1zp.aaaaaaaalqzj______yks --description "Image for UAT testing" --metadata {"buildnumber": "8447"}

   A imagem especificada agora está assinada. Quando você exibe a lista de imagens em um repositório na Console, o texto "(Assinado)" aparece ao lado do nome da imagem.

Você pode usar a Console para exibir as imagens assinadas em um repositório.

Para visualizar imagens assinadas:

1. Na página da lista Registro de Contêiner, selecione o repositório com o qual você deseja trabalhar na lista Repositórios e imagens. Se precisar de ajuda para localizar a página de lista ou o repositório, consulte Listando Repositórios.

   A seção de detalhes do repositório é aberta.

2. Selecione o repositório na lista Repositórios e imagens uma segunda vez.

   As imagens no repositório, incluindo seus identificadores de versão, são listadas no repositório na lista Repositórios e imagens.

   O texto "(Assinado)" aparece ao lado das imagens que foram assinadas.

3. (Opcional) Na lista, selecione uma imagem assinada e selecione a guia Assinaturas para exibir as assinaturas criadas quando a imagem foi assinada.

Uma assinatura de imagem associa uma imagem à chave mestra (obtida do serviço Vault) que foi usada para assinar a imagem. Uma imagem pode ter várias assinaturas, cada uma criada usando uma chave mestra de criptografia diferente.

Após assinar uma imagem no Container Registry e criar uma assinatura de imagem, você pode:

• Visualizar detalhes da assinatura.

• Verifique a assinatura com o serviço Vault para confirmar se a chave mestra de criptografia usada para assinar a imagem ainda é válida e disponível.

• Adicione tags de formato livre e tags definidas à assinatura.

• Excluir a assinatura para indicar que a imagem não deve mais ser considerada confiável.

Para exibir, verificar, marcar ou excluir a(s) assinatura(s) que foi(ram) criada(s) quando uma imagem foi assinada:

1. Na página da lista Registro de Contêiner, selecione o repositório com o qual você deseja trabalhar na lista Repositórios e imagens. Se precisar de ajuda para localizar a página de lista ou o repositório, consulte Listando Repositórios.

   A seção de detalhes do repositório é aberta.

2. Selecione o repositório na lista Repositórios e imagens uma segunda vez.

   As imagens no repositório, incluindo seus identificadores de versão, são listadas no repositório na lista Repositórios e imagens.

   O texto "(Assinado)" aparece ao lado das imagens que foram assinadas.

3. Na lista, selecione uma imagem assinada e selecione a guia Assinaturas para exibir detalhes das assinaturas criadas quando a imagem foi assinada:

   • Description: uma descrição da assinatura que foi especificada quando a imagem foi assinada.

   • Verification response: o resultado da última tentativa de verificar a assinatura da imagem com o serviço Vault.

   • Tags: O número de tags definidas ou de formato livre aplicadas à assinatura da imagem.

   • Date: quando a imagem foi assinada e a assinatura da imagem foi criada.

4. (Opcional) Para ver a chave mestra, a versão da chave e o algoritmo de assinatura de uma assinatura específica, selecione Exibir detalhes da chave no menu Ações da assinatura.

5. (Opcional) Para verificar uma assinatura específica com o serviço Vault, selecione Verificar assinatura no menu Ações da assinatura.

   O serviço Vault verifica se a origem da imagem teve acesso a uma chave privada válida quando ela foi enviada e se a imagem não foi modificada desde que foi enviada. Se ambas as condições forem atendidas, a assinatura será mostrada com um status Verificado. Os usuários ou os sistemas que extraem a imagem do registro podem ter certeza de que a origem da imagem é confiável e que a integridade da imagem não foi comprometida.

   Se a verificação de imagem falhar, verifique se você tem acesso à chave mestra e se ela não foi excluída.

6. (Opcional) Para adicionar uma tag de formato livre ou uma tag definida a uma assinatura à qual nenhuma tag tenha sido aplicada ainda, selecione Adicionar tags no menu Ações da assinatura.

   Se uma ou mais tags já tiverem sido aplicadas à assinatura, selecione Exibir tags no menu Ações da assinatura e selecione Adicionar tags na caixa de diálogo Exibir tags. Para obter mais informações, consulte Aplicando Tags de Formato Livre e Tags Definidas a Repositórios, Imagens e Assinaturas de Imagem.

7. (Opcional) Para excluir uma assinatura específica, selecione Excluir assinatura no menu Ações da assinatura.

   A assinatura é excluída e não é mais mostrada na guia Assinaturas. Se a imagem não tiver outras assinaturas, o texto "(Assinado)" não aparecerá mais ao lado do nome da imagem na lista de imagens no repositório.

Execute a operação CreateContainerImageSignature para assinar uma imagem e criar uma assinatura de imagem.

Execute a operação GetContainerImageSignature para extrair uma assinatura de imagem e a operação Verify para verificar a assinatura.