Compartir vía


az confcom

Nota:

Esta referencia forma parte de la extensión confcom para la CLI de Azure (versión 2.26.2 o posterior). La extensión instalará automáticamente la primera vez que ejecute un comando az confcom . Obtenga más información sobre las extensiones.

Comandos para generar directivas de seguridad para contenedores confidenciales en Azure.

Comandos

Nombre Description Tipo Estado
az confcom acipolicygen

Cree una directiva de seguridad de contenedor confidencial para ACI.

Extensión GA
az confcom katapolicygen

Cree una directiva de seguridad de contenedor confidencial para AKS.

Extensión GA

az confcom acipolicygen

Cree una directiva de seguridad de contenedor confidencial para ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--faster-hashing]
                        [--image]
                        [--infrastructure-svn]
                        [--input]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]

Ejemplos

Entrada de un archivo de plantilla de ARM para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en la plantilla de ARM

az confcom acipolicygen --template-file "./template.json"

Entrada de un archivo de plantilla de ARM para crear una directiva de seguridad de contenedor confidencial legible

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Escriba un archivo de plantilla de ARM para guardar una directiva de seguridad de contenedor confidencial en un archivo como texto codificado en base64.

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Escriba un archivo de plantilla de ARM y use un archivo tar como origen de la imagen en lugar del demonio de Docker.

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Parámetros opcionales

--approve-wildcards -y

Cuando se habilita, todas las solicitudes de uso de caracteres comodín en las variables de entorno se aprueban automáticamente.

Valor predeterminado: False
--debug-mode

Cuando está habilitada, la directiva de seguridad generada agrega la capacidad de usar /bin/sh o /bin/bash para depurar el contenedor. También ha habilitado el acceso stdio, la capacidad de volcar seguimientos de pila y habilita el registro en tiempo de ejecución. Se recomienda usar solo esta opción con fines de depuración.

Valor predeterminado: False
--diff -d

Cuando se combina con una plantilla de ARM de entrada, comprueba que la directiva presente en la plantilla de ARM en "ccePolicy" y los contenedores de la plantilla de ARM son compatibles. Si no son compatibles, se da una lista de motivos y el código de estado de salida será 2.

Valor predeterminado: False
--disable-stdio

Cuando está habilitada, los contenedores del grupo de contenedores no tienen acceso a stdio.

Valor predeterminado: False
--faster-hashing

Cuando se habilita, el algoritmo hash usado para generar la directiva es más rápido pero menos eficaz para la memoria.

Valor predeterminado: False
--image

Nombre de la imagen de entrada.

--infrastructure-svn

Número mínimo de versión de software permitido para el fragmento de infraestructura.

--input -i

Archivo de configuración JSON de entrada.

--outraw

Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.

Valor predeterminado: False
--outraw-pretty-print

Directiva de salida en texto no cifrado y formato de impresión bastante bonito.

Valor predeterminado: False
--parameters -p

Archivo de parámetros de entrada para acompañar opcionalmente una plantilla de ARM.

--print-existing-policy

Cuando está habilitada, la directiva de seguridad existente que está presente en la plantilla de ARM se imprime en la línea de comandos y no se genera ninguna nueva directiva de seguridad.

Valor predeterminado: False
--print-policy

Cuando está habilitada, la directiva de seguridad generada se imprime en la línea de comandos en lugar de insertarla en la plantilla de ARM de entrada.

Valor predeterminado: False
--save-to-file -s

Guarde la directiva de salida en una ruta de acceso de archivo determinada.

--tar

Ruta de acceso a un tarball que contiene capas de imagen o un archivo JSON que contiene rutas de acceso a tarballs de capas de imagen.

--template-file -a

Escriba el archivo de plantilla de ARM.

--validate-sidecar -v

Valide que la imagen usada para generar la directiva de CCE para un contenedor sidecar estará permitida por su directiva generada.

Valor predeterminado: False
Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az confcom katapolicygen

Cree una directiva de seguridad de contenedor confidencial para AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Ejemplos

Escriba un archivo YAML de Kubernetes para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.

az confcom katapolicygen --yaml "./pod.json"

Entrada de un archivo YAML de Kubernetes para imprimir una directiva de seguridad de contenedor confidencial codificada en Base64 para stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Escriba un archivo YAML de Kubernetes y un archivo de configuración personalizado para insertar una directiva de seguridad de contenedor confidencial codificada en base64 en el archivo YAML.

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Entrada de un archivo YAML de Kubernetes y un archivo de asignación de configuración externo

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Entrada de un archivo YAML de Kubernetes y un archivo de reglas personalizados

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Entrada de un archivo YAML de Kubernetes con una ruta de acceso de socket contenedor personalizada

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parámetros opcionales

--config-map-file -c

Ruta de acceso al archivo de asignación de configuración.

--containerd-pull -d

Use containerd para extraer la imagen. Esta opción solo se admite en Linux.

Valor predeterminado: False
--containerd-socket-path

Ruta de acceso al socket contenedor. Esta opción solo se admite en Linux.

--outraw

Directiva de salida en FORMATO JSON compacto de texto no cifrado en lugar del formato base64 predeterminado.

Valor predeterminado: False
--print-policy

Imprima la directiva generada codificada en base64 en el terminal.

Valor predeterminado: False
--print-version -v

Imprima la versión de las herramientas genpolicy.

Valor predeterminado: False
--rules-file-name -p

Ruta de acceso al archivo de reglas personalizadas.

--settings-file-name -j

Ruta de acceso al archivo de configuración personalizado.

--use-cached-files -u

Use archivos almacenados en caché para ahorrar en el tiempo de cálculo.

Valor predeterminado: False
--yaml -y

Escriba el archivo de Kubernetes de YAML.

Parámetros globales
--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
Valor predeterminado: json
--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.