az confcom
Nota:
Esta referencia forma parte de la extensión confcom para la CLI de Azure (versión 2.26.2 o posterior). La extensión instalará automáticamente la primera vez que ejecute un comando az confcom . Obtenga más información sobre las extensiones.
Comandos para generar directivas de seguridad para contenedores confidenciales en Azure.
Comandos
| Nombre | Description | Tipo | Estado |
|---|---|---|---|
| az confcom acifragmentgen |
Cree un fragmento de directiva de contenedor confidencial para ACI. |
Extensión | GA |
| az confcom acipolicygen |
Cree una directiva de seguridad de contenedor confidencial para ACI. |
Extensión | GA |
| az confcom katapolicygen |
Cree una directiva de seguridad de contenedor confidencial para AKS. |
Extensión | GA |
az confcom acifragmentgen
Cree un fragmento de directiva de contenedor confidencial para ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]Ejemplos
Escriba un nombre de imagen para generar un fragmento simple
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldEntrada de un archivo de configuración para generar un fragmento con un espacio de nombres personalizado y el modo de depuración habilitado
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGeneración de una instrucción import para un fragmento local firmado
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Generación de un fragmento y un signo de COSE con una clave y una cadena
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGeneración de una importación de fragmentos a partir de un nombre de imagen
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Adjuntar un fragmento a una imagen especificada
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Parámetros opcionales
Algoritmo usado para firmar el fragmento de directiva generado. Debe usarse con --key y --chain. Los algoritmos admitidos son ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
Ruta de acceso al archivo de cadena de certificados con formato .pem que se usará para firmar el fragmento de directiva generado. Debe usarse con --key.
Cuando está habilitada, la directiva de seguridad generada agrega la capacidad de usar /bin/sh o /bin/bash para depurar el contenedor. También ha habilitado el acceso stdio, la capacidad de volcar seguimientos de pila y habilita el registro en tiempo de ejecución. Se recomienda usar solo esta opción con fines de depuración.
Cuando está habilitada, los contenedores del grupo de contenedores no tienen acceso a stdio.
Fuente que se usará para el fragmento de directiva generado. Normalmente es el mismo que el nombre de la imagen cuando se usan fragmentos adjuntos a imágenes. Es la ubicación del repositorio remoto donde se almacenará el fragmento.
Ruta de acceso a un archivo de fragmento de directiva existente que se va a usar con --generate-import. Esta opción permite crear instrucciones de importación para el fragmento especificado sin necesidad de extraerlas de un registro de OCI.
Ruta de acceso a un archivo JSON que almacenará la información de importación de fragmentos generada al usar --generate-import. Este archivo se puede introducir posteriormente en el comando de generación de directivas (acipolicygen) para incluir el fragmento en una directiva nueva o existente. Si no se especifica, la instrucción import se imprimirá en la consola en lugar de guardarse en un archivo.
Genere una instrucción import para un fragmento de directiva.
Imagen que se va a usar para el fragmento de directiva generado.
Destino de imagen donde se adjunta el fragmento de directiva generado.
Ruta de acceso a un archivo JSON que contiene la configuración del fragmento de directiva generado.
Ruta de acceso al archivo de clave con formato .pem que se usará para firmar el fragmento de directiva generado. Debe usarse con --chain.
Se usa con --generate-import para especificar el SVN mínimo para la instrucción import.
Espacio de nombres que se va a usar para el fragmento de directiva generado.
No imprima el fragmento de directiva generado en stdout.
Cuando está habilitada, la directiva generada no contendrá el campo id. Esto impedirá que la directiva esté vinculada a un nombre y una etiqueta de imagen específicos. Esto resulta útil si la imagen que se usa estará presente en varios registros y se usará indistintamente.
Guarde la directiva de salida en una ruta de acceso de archivo determinada.
Directiva de salida en JSON compacto de texto no cifrado en lugar de formato de impresión bastante predeterminado.
Número mínimo de versión de software permitido para el fragmento de directiva generado. Debe ser un entero que aumenta de forma monotónica.
Ruta de acceso a un tarball que contiene capas de imagen o un archivo JSON que contiene rutas de acceso a tarballs de capas de imagen.
Cuando se habilita, el fragmento de directiva generado se cargará en el registro de la imagen que se va a usar.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az confcom acipolicygen
Cree una directiva de seguridad de contenedor confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]Ejemplos
Entrada de un archivo de plantilla de ARM para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en la plantilla de ARM
az confcom acipolicygen --template-file "./template.json"Entrada de un archivo de plantilla de ARM para crear una directiva de seguridad de contenedor confidencial legible
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEscriba un archivo de plantilla de ARM para guardar una directiva de seguridad de contenedor confidencial en un archivo como texto codificado en base64.
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyEscriba un archivo de plantilla de ARM y use un archivo tar como origen de la imagen en lugar del demonio de Docker.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Entrada de un archivo de plantilla de ARM y uso de un archivo JSON de fragmentos para generar una directiva
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsParámetros opcionales
Cuando se habilita, todas las solicitudes de uso de caracteres comodín en las variables de entorno se aprueban automáticamente.
Cuando está habilitada, la directiva de seguridad generada agrega la capacidad de usar /bin/sh o /bin/bash para depurar el contenedor. También ha habilitado el acceso stdio, la capacidad de volcar seguimientos de pila y habilita el registro en tiempo de ejecución. Se recomienda usar solo esta opción con fines de depuración.
Cuando se combina con un archivo de plantilla de ARM de entrada (o archivo YAML para la generación de directivas de nodo virtual), comprueba que la directiva presente en la plantilla de ARM en "ccePolicy" y los contenedores del archivo son compatibles. Si no son compatibles, se da una lista de motivos y el código de estado de salida será 2.
Cuando está habilitada, los contenedores del grupo de contenedores no tienen acceso a stdio.
Cuando se habilita, los fragmentos predeterminados no se incluyen en la directiva generada. Esto incluye contenedores necesarios para montar archivos de Azure, montar secretos, montar repositorios de Git y otras características comunes de ACI.
Cuando se habilita, el algoritmo hash usado para generar la directiva es más rápido pero menos eficaz para la memoria.
Ruta de acceso al archivo JSON que contiene información de fragmentos que se va a usar para generar una directiva. Esto requiere que se habiliten --include-fragments.
Nombre de la imagen de entrada.
Cuando se habilita, la ruta de acceso especificada por --fragments-json se usará para extraer fragmentos de un registro de OCI o localmente e incluirlos en la directiva generada.
Número mínimo de versión de software permitido para el fragmento de infraestructura.
Archivo de configuración JSON de entrada.
Cuando está habilitada, la directiva generada no contendrá el campo id. Esto impedirá que la directiva esté vinculada a un nombre y una etiqueta de imagen específicos. Esto resulta útil si la imagen que se usa estará presente en varios registros y se usará indistintamente.
Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.
Directiva de salida en texto no cifrado y formato de impresión bastante bonito.
Archivo de parámetros de entrada para acompañar opcionalmente una plantilla de ARM.
Cuando está habilitada, la directiva de seguridad existente que está presente en la plantilla de ARM se imprime en la línea de comandos y no se genera ninguna nueva directiva de seguridad.
Cuando está habilitada, la directiva de seguridad generada se imprime en la línea de comandos en lugar de insertarla en la plantilla de ARM de entrada.
Guarde la directiva de salida en una ruta de acceso de archivo determinada.
Ruta de acceso a un tarball que contiene capas de imagen o un archivo JSON que contiene rutas de acceso a tarballs de capas de imagen.
Escriba el archivo de plantilla de ARM.
Valide que la imagen usada para generar la directiva de CCE para un contenedor sidecar estará permitida por su directiva generada.
Archivo YAML de entrada para la generación de directivas de nodo virtual.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az confcom katapolicygen
Cree una directiva de seguridad de contenedor confidencial para AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Ejemplos
Escriba un archivo YAML de Kubernetes para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.
az confcom katapolicygen --yaml "./pod.json"Entrada de un archivo YAML de Kubernetes para imprimir una directiva de seguridad de contenedor confidencial codificada en Base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEscriba un archivo YAML de Kubernetes y un archivo de configuración personalizado para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Entrada de un archivo YAML de Kubernetes y un archivo de asignación de configuración externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Entrada de un archivo YAML de Kubernetes y un archivo de reglas personalizados
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Entrada de un archivo YAML de Kubernetes con una ruta de acceso de socket contenedor personalizada
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parámetros opcionales
Ruta de acceso al archivo de asignación de configuración.
Use containerd para extraer la imagen. Esta opción solo se admite en Linux.
Ruta de acceso al socket contenedor. Esta opción solo se admite en Linux.
Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.
Imprima la directiva generada codificada en base64 en el terminal.
Imprima la versión de las herramientas genpolicy.
Ruta de acceso al archivo de reglas personalizadas.
Ruta de acceso al archivo de configuración personalizado.
Use archivos almacenados en caché para ahorrar en el tiempo de cálculo.
Escriba el archivo de Kubernetes de YAML.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
