目次
AWS Signer の特徴
AWS Signer は、コードやコンテナイメージに電子署名を付けて、改ざんされていないこと・信頼できる発行元のものだと確認できるようにする AWS のフルマネージドサービスです。ざっくり言うと、「このデプロイ物は本当に社内で承認されたものか」を保証する仕組みです。AWS が署名鍵や証明書の管理を担い、署名のライフサイクル管理や監査ログの追跡も行えます。平たく言うとコードとコンテナイメージの署名と検証を行います。
AWS Signer は、ガバナンスとして利用できます。AWS Signer を AWS Lambda と併用して、AWS 環境へのデプロイ前に機能やレイヤーが変更されていないことを確認できます。これにより、認証情報を取得して新しい機能を作成したり、既存の機能を更新したりする悪意のある攻撃者から組織を保護できます。
何のために使うのか
主な目的は次の3つです。
- 改ざん検知 … ビルド後に ZIP やコンテナイメージが差し替えられていないか確認できます。
- 発行元の証明 … 誰でも作った成果物ではなく、許可された署名プロファイルで署名されたものだけを信用できます。
- デプロイ統制 … たとえば Lambda では、信頼済み署名のないコードをデプロイできないようにできます。
コメント