az confcom
Nota
Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.
Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.
Comandos
Name | Description | Tipo | Status |
---|---|---|---|
az confcom acifragmentgen |
Crie um fragmento de política de contêiner confidencial para ACI. |
Extensão | GA |
az confcom acipolicygen |
Crie uma política de segurança de contêiner confidencial para ACI. |
Extensão | GA |
az confcom katapolicygen |
Crie uma Política de Segurança de Contêiner Confidencial para o AKS. |
Extensão | GA |
az confcom acifragmentgen
Crie um fragmento de política de contêiner confidencial para ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
Exemplos
Insira um nome de imagem para gerar um fragmento simples
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld
Insira um arquivo de configuração para gerar um fragmento com um namespace personalizado e o modo de depuração habilitados
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode
Gerar uma instrução de importação para um fragmento local assinado
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1
Gere um fragmento e assine-o com uma chave e corrente
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print
Gerar uma importação de fragmento a partir de um nome de imagem
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1
Anexar um fragmento a uma imagem especificada
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>
Parâmetros Opcionais
Algoritmo usado para assinar o fragmento de política gerado. Isso deve ser usado com --key e --chain. Os algoritmos suportados são ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
Caminho para o arquivo de cadeia de certificados formatado em .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --key.
Quando ativada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso ao stdio, a capacidade de despejar rastreamentos de pilha e permite o registro em tempo de execução. Recomenda-se usar essa opção apenas para fins de depuração.
Quando ativado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Feed a ser usado para o fragmento de política gerado. Isso geralmente é o mesmo que o nome da imagem ao usar fragmentos anexados à imagem. É o local no repositório remoto onde o fragmento será armazenado.
Caminho para um arquivo de fragmento de política existente a ser usado com --generate-import. Essa opção permite que você crie instruções de importação para o fragmento especificado sem precisar obtê-lo de um registro OCI.
Caminho para um arquivo JSON que armazenará as informações de importação de fragmento geradas ao usar --generate-import. Esse arquivo pode ser alimentado posteriormente no comando policy generation (acipolicygen) para incluir o fragmento em uma política nova ou existente. Se não for especificada, a instrução de importação será impressa no console em vez de ser salva em um arquivo.
Gere uma instrução import para um fragmento de política.
Imagem a ser usada para o fragmento de política gerado.
Destino da imagem onde o fragmento de política gerado está anexado.
Caminho para um arquivo JSON contendo a configuração do fragmento de política gerado.
Caminho para o arquivo de chave formatado .pem a ser usado para assinar o fragmento de política gerado. Isto deve ser usado com --chain.
Usado com --generate-import para especificar o SVN mínimo para a instrução import.
Namespace a ser usado para o fragmento de política gerado.
Não imprima o fragmento de política gerado no stdout.
Quando ativada, a política gerada não conterá o campo ID. Isso evitará que a política seja vinculada a um nome de imagem e tag específicos. Isto é útil se a imagem que está a ser utilizada estiver presente em vários registos e for utilizada de forma intercambiável.
Salve a política de saída em determinado caminho de arquivo.
Política de saída em JSON compacto de texto não criptografado em vez do formato de impressão bonito padrão.
Número mínimo de versão de software permitido para o fragmento de política gerado. Este deve ser um número inteiro monotonicamente crescente.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Quando ativado, o fragmento de política gerado será carregado no registro da imagem que está sendo usada.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
o .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az confcom acipolicygen
Crie uma política de segurança de contêiner confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
Exemplos
Insira um arquivo de modelo ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo ARM
az confcom acipolicygen --template-file "./template.json"
Insira um arquivo de modelo ARM para criar uma Política de Segurança de Contêiner Confidencial legível por humanos
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print
Insira um arquivo de modelo ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy
Insira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"
Insira um arquivo de modelo ARM e use um arquivo JSON de fragmentos para gerar uma política
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments
Parâmetros Opcionais
Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.
Quando ativada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso ao stdio, a capacidade de despejar rastreamentos de pilha e permite o registro em tempo de execução. Recomenda-se usar essa opção apenas para fins de depuração.
Quando combinado com um arquivo de modelo ARM de entrada (ou arquivo YAML para geração de política de nó virtual), verifica se a política presente no modelo ARM em "ccePolicy" e os contêineres dentro do arquivo são compatíveis. Se forem incompatíveis, é dada uma lista de razões e o código de estado de saída será 2.
Quando ativado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Quando habilitados, os fragmentos padrão não são incluídos na política gerada. Isso inclui contêineres necessários para montar arquivos azure, segredos de montagem, repositórios git de montagem e outros recursos comuns do ACI.
Quando ativado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.
Caminho para o arquivo JSON contendo informações de fragmento a serem usadas para gerar uma política. Isso requer que --include-fragments seja habilitado.
Nome da imagem de entrada.
Quando habilitado, o caminho especificado por --fragments-json será usado para extrair fragmentos de um registro OCI ou localmente e incluí-los na política gerada.
Número mínimo de versão de software permitido para o fragmento de infraestrutura.
Arquivo de configuração JSON de entrada.
Quando ativada, a política gerada não conterá o campo ID. Isso evitará que a política seja vinculada a um nome de imagem e tag específicos. Isto é útil se a imagem que está a ser utilizada estiver presente em vários registos e for utilizada de forma intercambiável.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Política de saída em texto claro e formato de impressão bonito.
Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo ARM.
Quando habilitada, a diretiva de segurança existente presente no Modelo ARM é impressa na linha de comando e nenhuma nova diretiva de segurança é gerada.
Quando habilitada, a diretiva de segurança gerada é impressa na linha de comando em vez de injetada no modelo ARM de entrada.
Salve a política de saída em determinado caminho de arquivo.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Insira o arquivo de modelo ARM.
Valide se a imagem usada para gerar a Política de CCE para um contêiner de sidecar será permitida por sua política gerada.
Arquivo YAML de entrada para geração de política de nó virtual.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
o .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az confcom katapolicygen
Crie uma Política de Segurança de Contêiner Confidencial para o AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]
Exemplos
Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json"
Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy
Insira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"
Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"
Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"
Insira um arquivo YAML do Kubernetes com um caminho de soquete em contêiner personalizado
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"
Parâmetros Opcionais
Caminho para o arquivo de mapa de configuração.
Use containerd para puxar a imagem. Esta opção só é suportada no Linux.
Caminho para o soquete em contêiner. Esta opção só é suportada no Linux.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Imprima a política gerada codificada em base64 no terminal.
Imprima a versão das ferramentas genpolicy.
Caminho para o arquivo de regras personalizadas.
Caminho para o arquivo de configurações personalizadas.
Use arquivos armazenados em cache para economizar tempo de computação.
Insira o arquivo YAML Kubernetes.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
o .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.