Partilhar via

az confcom

  • Referência

Nota

Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.

Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.

Comandos

Name Description Tipo Status
az confcom acifragmentgen

Crie um fragmento de política de contêiner confidencial para ACI.

 Extensão GA
az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

 Extensão GA
az confcom katapolicygen

Crie uma Política de Segurança de Contêiner Confidencial para o AKS.

 Extensão GA

az confcom acifragmentgen

Crie um fragmento de política de contêiner confidencial para ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Exemplos

Insira um nome de imagem para gerar um fragmento simples

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Insira um arquivo de configuração para gerar um fragmento com um namespace personalizado e o modo de depuração habilitados

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Gerar uma instrução de importação para um fragmento local assinado

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Gere um fragmento e assine-o com uma chave e corrente

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Gerar uma importação de fragmento a partir de um nome de imagem

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Anexar um fragmento a uma imagem especificada

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Parâmetros Opcionais

--algo

Algoritmo usado para assinar o fragmento de política gerado. Isso deve ser usado com --key e --chain. Os algoritmos suportados são ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Default value: ES384
--chain

Caminho para o arquivo de cadeia de certificados formatado em .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --key.

--debug-mode

Quando ativada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso ao stdio, a capacidade de despejar rastreamentos de pilha e permite o registro em tempo de execução. Recomenda-se usar essa opção apenas para fins de depuração.

Default value: False
--disable-stdio

Quando ativado, os contêineres no grupo de contêineres não têm acesso ao stdio.

Default value: False
--feed -f

Feed a ser usado para o fragmento de política gerado. Isso geralmente é o mesmo que o nome da imagem ao usar fragmentos anexados à imagem. É o local no repositório remoto onde o fragmento será armazenado.

--fragment-path -p

Caminho para um arquivo de fragmento de política existente a ser usado com --generate-import. Essa opção permite que você crie instruções de importação para o fragmento especificado sem precisar obtê-lo de um registro OCI.

--fragments-json -j

Caminho para um arquivo JSON que armazenará as informações de importação de fragmento geradas ao usar --generate-import. Esse arquivo pode ser alimentado posteriormente no comando policy generation (acipolicygen) para incluir o fragmento em uma política nova ou existente. Se não for especificada, a instrução de importação será impressa no console em vez de ser salva em um arquivo.

--generate-import -g

Gere uma instrução import para um fragmento de política.

Default value: False
--image

Imagem a ser usada para o fragmento de política gerado.

--image-target

Destino da imagem onde o fragmento de política gerado está anexado.

--input -i

Caminho para um arquivo JSON contendo a configuração do fragmento de política gerado.

--key -k

Caminho para o arquivo de chave formatado .pem a ser usado para assinar o fragmento de política gerado. Isto deve ser usado com --chain.

--minimum-svn

Usado com --generate-import para especificar o SVN mínimo para a instrução import.

--namespace -n

Namespace a ser usado para o fragmento de política gerado.

--no-print

Não imprima o fragmento de política gerado no stdout.

Default value: False
--omit-id

Quando ativada, a política gerada não conterá o campo ID. Isso evitará que a política seja vinculada a um nome de imagem e tag específicos. Isto é útil se a imagem que está a ser utilizada estiver presente em vários registos e for utilizada de forma intercambiável.

Default value: False
--output-filename

Salve a política de saída em determinado caminho de arquivo.

--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato de impressão bonito padrão.

Default value: False
--svn

Número mínimo de versão de software permitido para o fragmento de política gerado. Este deve ser um número inteiro monotonicamente crescente.

--tar

Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.

--upload-fragment -u

Quando ativado, o fragmento de política gerado será carregado no registro da imagem que está sendo usada.

Default value: False
Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Exemplos

Insira um arquivo de modelo ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo ARM

az confcom acipolicygen --template-file "./template.json"

Insira um arquivo de modelo ARM para criar uma Política de Segurança de Contêiner Confidencial legível por humanos

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Insira um arquivo de modelo ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Insira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Insira um arquivo de modelo ARM e use um arquivo JSON de fragmentos para gerar uma política

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Parâmetros Opcionais

--approve-wildcards -y

Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.

Default value: False
--debug-mode

Quando ativada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso ao stdio, a capacidade de despejar rastreamentos de pilha e permite o registro em tempo de execução. Recomenda-se usar essa opção apenas para fins de depuração.

Default value: False
--diff -d

Quando combinado com um arquivo de modelo ARM de entrada (ou arquivo YAML para geração de política de nó virtual), verifica se a política presente no modelo ARM em "ccePolicy" e os contêineres dentro do arquivo são compatíveis. Se forem incompatíveis, é dada uma lista de razões e o código de estado de saída será 2.

Default value: False
--disable-stdio

Quando ativado, os contêineres no grupo de contêineres não têm acesso ao stdio.

Default value: False
--exclude-default-fragments -e

Quando habilitados, os fragmentos padrão não são incluídos na política gerada. Isso inclui contêineres necessários para montar arquivos azure, segredos de montagem, repositórios git de montagem e outros recursos comuns do ACI.

Default value: False
--faster-hashing

Quando ativado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.

Default value: False
--fragments-json -j

Caminho para o arquivo JSON contendo informações de fragmento a serem usadas para gerar uma política. Isso requer que --include-fragments seja habilitado.

--image

Nome da imagem de entrada.

--include-fragments -f

Quando habilitado, o caminho especificado por --fragments-json será usado para extrair fragmentos de um registro OCI ou localmente e incluí-los na política gerada.

Default value: False
--infrastructure-svn

Número mínimo de versão de software permitido para o fragmento de infraestrutura.

--input -i

Arquivo de configuração JSON de entrada.

--omit-id

Quando ativada, a política gerada não conterá o campo ID. Isso evitará que a política seja vinculada a um nome de imagem e tag específicos. Isto é útil se a imagem que está a ser utilizada estiver presente em vários registos e for utilizada de forma intercambiável.

Default value: False
--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Default value: False
--outraw-pretty-print

Política de saída em texto claro e formato de impressão bonito.

Default value: False
--parameters -p

Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo ARM.

--print-existing-policy

Quando habilitada, a diretiva de segurança existente presente no Modelo ARM é impressa na linha de comando e nenhuma nova diretiva de segurança é gerada.

Default value: False
--print-policy

Quando habilitada, a diretiva de segurança gerada é impressa na linha de comando em vez de injetada no modelo ARM de entrada.

Default value: False
--save-to-file -s

Salve a política de saída em determinado caminho de arquivo.

--tar

Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.

--template-file -a

Insira o arquivo de modelo ARM.

--validate-sidecar -v

Valide se a imagem usada para gerar a Política de CCE para um contêiner de sidecar será permitida por sua política gerada.

Default value: False
--virtual-node-yaml

Arquivo YAML de entrada para geração de política de nó virtual.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az confcom katapolicygen

Crie uma Política de Segurança de Contêiner Confidencial para o AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Exemplos

Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json"

Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Insira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Insira um arquivo YAML do Kubernetes com um caminho de soquete em contêiner personalizado

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parâmetros Opcionais

--config-map-file -c

Caminho para o arquivo de mapa de configuração.

--containerd-pull -d

Use containerd para puxar a imagem. Esta opção só é suportada no Linux.

Default value: False
--containerd-socket-path

Caminho para o soquete em contêiner. Esta opção só é suportada no Linux.

--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Default value: False
--print-policy

Imprima a política gerada codificada em base64 no terminal.

Default value: False
--print-version -v

Imprima a versão das ferramentas genpolicy.

Default value: False
--rules-file-name -p

Caminho para o arquivo de regras personalizadas.

--settings-file-name -j

Caminho para o arquivo de configurações personalizadas.

--use-cached-files -u

Use arquivos armazenados em cache para economizar tempo de computação.

Default value: False
--yaml -y

Insira o arquivo YAML Kubernetes.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.