セキュリティ

AWS Signer で実現するコード署名 - Lambda 関数とコンテナイメージの信頼性保証

Lambda 関数とコンテナイメージにコード署名を適用し、CI/CD パイプラインで署名検証を強制する。署名のリボケーションによる侵害対応も紹介します。

約 1 分で読めます

コード署名の必要性

コード署名はデプロイされるコードが信頼された発行元から提供され、改ざんされていないことを暗号学的に保証する仕組みです。サプライチェーン攻撃でビルドパイプラインが侵害された場合でも、署名検証により不正なコードのデプロイを防止できます。AWS SignerLambda 関数のデプロイパッケージとコンテナイメージに対する署名と検証を提供します。

Lambda のコード署名

Lambda のコード署名設定 (Code Signing Configuration) で、信頼する署名プロファイルの ARN (最大 20 個) と、署名検証失敗時のアクション (Warn または Enforce) を定義します。Enforce モードでは署名されていない関数や、信頼されていない署名プロファイルで署名された関数のデプロイがブロックされます。CI/CD パイプラインでは、CodeBuild でビルドした ZIP パッケージを Signer で署名し、署名済みパッケージを Lambda にデプロイするフローを構築します。

コンテナイメージ署名と CI/CD 統合

AWS Signer は ECR のコンテナイメージに対する Notation 形式の署名をサポートします。 CI/CD パイプラインのビルドステージでイメージをビルドし、 Signer で署名した後に ECR にプッシュします。 EKS のアドミッションコントローラーで署名の検証を強制し、署名されていないイメージのデプロイを拒否します。署名プロファイルで署名に使用する暗号鍵と有効期間を定義し、プロファイルの有効期限が切れると新しい署名が生成できなくなります。署名のリボケーション (取り消し) で、侵害された署名プロファイルで署名されたコードを無効化できます。 Signer の実践的な知識を深めるには、専門書籍 (Amazon)が役立ちます。

Signer の料金

AWS Signer の料金は署名操作の回数で課金されます。Lambda のコード署名は 1 署名あたり約 0.005 ドル、コンテナイメージの署名は 1 署名あたり約 0.50 ドルです。署名の検証は無料です。CI/CD パイプラインで頻繁にビルド・署名を行う場合、コンテナイメージの署名コストが積み上がるため、開発環境では署名を省略し、ステージング・本番環境のみで署名を強制する運用でコストを管理します。署名プロファイルの管理に追加料金は発生しません。

まとめ

AWS Signer は Lambda 関数とコンテナイメージのコード署名を提供し、デプロイされるコードの信頼性を暗号学的に保証するサービスです。CI/CD パイプラインのビルドステージで署名し、Lambda のコード署名設定や EKS のアドミッションコントローラーで署名検証を強制します。署名のリボケーションで侵害された署名プロファイルのコードを無効化できます。

関連するサービス

AWS Signerコードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービスAWS Lambdaサーバー管理不要でコードを実行するサーバーレスコンピュートサービスAmazon ECRDocker コンテナイメージを安全に保存・管理・配布できるフルマネージドレジストリ

関連する記事

Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。Amazon API Gateway の設計パターン - REST API と HTTP API の選定基準HTTP API と REST API の選定基準を明確にし、Cognito・Lambda オーソライザーの認証パターンとスロットリング設計の実践手法を紹介します。コンテナデプロイの簡素化 - AWS App Runner で実現するゼロ設定デプロイAWS App Runner を使ったコンテナ Web アプリケーションのデプロイ方法を解説。ECS/Fargate との使い分け、自動スケーリング、VPC 統合、CI/CD パイプラインとの連携まで実践的に紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Signerコードやコンテナイメージにデジタル署名を付与し、デプロイ時に署名検証を行うことでソフトウェアサプライチェーンの完全性を保証するサービスAWS の署名バージョン 4 (SigV4) はどう動いているのか - API 認証の暗号学的な仕組みAWS API の認証に使われる SigV4 署名プロセスの 4 ステップ (正規リクエスト作成、署名文字列構築、署名キー導出、署名計算) を暗号学的な観点から解説し、SigV4A やプリサインド URL の仕組みも紹介します。AWS の API はなぜ XML を返すのか - Query API から REST JSON への進化の歴史S3 や EC2 の API が XML レスポンスを返す歴史的経緯、Query API と REST API の違い、Signature V2 から V4 への認証方式の進化、SDK が隠蔽している複雑さを解説します。Amazon ECRDocker コンテナイメージを安全に保存・管理・配信できるフルマネージドなコンテナレジストリサービス