我是Docker和Docker Trust的新手。我对图像签名和公证人的角色感到困惑。
我创建了一些docker镜像并将其推送到ACR(Azure容器注册表)。现在,下一部分是对它们进行签名。我的问题是我可以使用内部或第三方代码签名证书对那些图像进行签名吗?如果是,则不胜感激任何使用方法的指针。
谢谢!
答案 0 :(得分:1)
ACR内容信任密钥的密钥限制与Docker内容信任密钥的限制类似。因此,您可以将现有的内部证书或第三方代码签名证书用于ACR内容信任密钥。您可以按照Signing Images with Docker Content Trust中的步骤进行操作。
您需要做的是控制ACR的权限。要将符号图像推送到ACR,它需要权限 AcrImageSigner ,这是将图像推送到注册表所需的AcrPush(或等效)角色的补充。从ACR提取图像也没有任何区别。有关更多详细信息,请参见Grant image signing permissions。