az confcom
Nota:
Esta referencia forma parte de la extensión confcom para la CLI de Azure (versión 2.26.2 o posterior). La extensión instalará automáticamente la primera vez que ejecute un comando az confcom . Obtenga más información sobre las extensiones.
Comandos para generar directivas de seguridad para contenedores confidenciales en Azure.
Comandos
| Nombre | Description | Tipo | Estado |
|---|---|---|---|
| az confcom acipolicygen |
Cree una directiva de seguridad de contenedor confidencial para ACI. |
Extensión | GA |
| az confcom katapolicygen |
Cree una directiva de seguridad de contenedor confidencial para AKS. |
Extensión | GA |
az confcom acipolicygen
Cree una directiva de seguridad de contenedor confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Ejemplos
Entrada de un archivo de plantilla de ARM para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en la plantilla de ARM
az confcom acipolicygen --template-file "./template.json"Entrada de un archivo de plantilla de ARM para crear una directiva de seguridad de contenedor confidencial legible
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEscriba un archivo de plantilla de ARM para guardar una directiva de seguridad de contenedor confidencial en un archivo como texto codificado en base64.
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyEscriba un archivo de plantilla de ARM y use un archivo tar como origen de la imagen en lugar del demonio de Docker.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Parámetros opcionales
Cuando se habilita, todas las solicitudes de uso de caracteres comodín en las variables de entorno se aprueban automáticamente.
Cuando está habilitada, la directiva de seguridad generada agrega la capacidad de usar /bin/sh o /bin/bash para depurar el contenedor. También ha habilitado el acceso stdio, la capacidad de volcar seguimientos de pila y habilita el registro en tiempo de ejecución. Se recomienda usar solo esta opción con fines de depuración.
Cuando se combina con una plantilla de ARM de entrada, comprueba que la directiva presente en la plantilla de ARM en "ccePolicy" y los contenedores de la plantilla de ARM son compatibles. Si no son compatibles, se da una lista de motivos y el código de estado de salida será 2.
Cuando está habilitada, los contenedores del grupo de contenedores no tienen acceso a stdio.
Cuando se habilita, el algoritmo hash usado para generar la directiva es más rápido pero menos eficaz para la memoria.
Nombre de la imagen de entrada.
Número mínimo de versión de software permitido para el fragmento de infraestructura.
Archivo de configuración JSON de entrada.
Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.
Directiva de salida en texto no cifrado y formato de impresión bastante bonito.
Archivo de parámetros de entrada para acompañar opcionalmente una plantilla de ARM.
Cuando está habilitada, la directiva de seguridad existente que está presente en la plantilla de ARM se imprime en la línea de comandos y no se genera ninguna nueva directiva de seguridad.
Cuando está habilitada, la directiva de seguridad generada se imprime en la línea de comandos en lugar de insertarla en la plantilla de ARM de entrada.
Guarde la directiva de salida en una ruta de acceso de archivo determinada.
Ruta de acceso a un tarball que contiene capas de imagen o un archivo JSON que contiene rutas de acceso a tarballs de capas de imagen.
Escriba el archivo de plantilla de ARM.
Valide que la imagen usada para generar la directiva de CCE para un contenedor sidecar estará permitida por su directiva generada.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az confcom katapolicygen
Cree una directiva de seguridad de contenedor confidencial para AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Ejemplos
Escriba un archivo YAML de Kubernetes para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.
az confcom katapolicygen --yaml "./pod.json"Entrada de un archivo YAML de Kubernetes para imprimir una directiva de seguridad de contenedor confidencial codificada en Base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEscriba un archivo YAML de Kubernetes y un archivo de configuración personalizado para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Entrada de un archivo YAML de Kubernetes y un archivo de asignación de configuración externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Entrada de un archivo YAML de Kubernetes y un archivo de reglas personalizados
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Entrada de un archivo YAML de Kubernetes con una ruta de acceso de socket contenedor personalizada
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parámetros opcionales
Ruta de acceso al archivo de asignación de configuración.
Use containerd para extraer la imagen. Esta opción solo se admite en Linux.
Ruta de acceso al socket contenedor. Esta opción solo se admite en Linux.
Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.
Imprima la directiva generada codificada en base64 en el terminal.
Imprima la versión de las herramientas genpolicy.
Ruta de acceso al archivo de reglas personalizadas.
Ruta de acceso al archivo de configuración personalizado.
Use archivos almacenados en caché para ahorrar en el tiempo de cálculo.
Escriba el archivo de Kubernetes de YAML.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
