Partage via


az confcom

Remarque

Cette référence fait partie de l’extension confcom pour Azure CLI (version 2.26.2 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande az confcom . Apprenez-en davantage sur les extensions.

Commandes permettant de générer des stratégies de sécurité pour les conteneurs confidentiels dans Azure.

Commandes

Nom Description Type État
az confcom acifragmentgen

Créez un fragment de stratégie de conteneur confidentiel pour ACI.

Extension GA
az confcom acipolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour ACI.

Extension GA
az confcom katapolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour AKS.

Extension GA

az confcom acifragmentgen

Créez un fragment de stratégie de conteneur confidentiel pour ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Exemples

Entrer un nom d’image pour générer un fragment simple

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Entrez un fichier de configuration pour générer un fragment avec un espace de noms personnalisé et le mode débogage activé

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Générer une instruction d’importation pour un fragment local signé

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Générer un fragment et un signe COSE avec une clé et une chaîne

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Générer une importation de fragment à partir d’un nom d’image

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Attacher un fragment à une image spécifiée

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Paramètres facultatifs

--algo

Algorithme utilisé pour signer le fragment de stratégie généré. Cela doit être utilisé avec --key et --chain. Les algorithmes pris en charge sont ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Valeur par défaut: ES384
--chain

Chemin d’accès au fichier de chaîne de certificats au format .pem à utiliser pour signer le fragment de stratégie généré. Cela doit être utilisé avec --key.

--debug-mode

Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.

Valeur par défaut: False
--disable-stdio

Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.

Valeur par défaut: False
--feed -f

Flux à utiliser pour le fragment de stratégie généré. Il s’agit généralement du même nom que celui de l’image lors de l’utilisation de fragments attachés à l’image. Il s’agit de l’emplacement dans le référentiel distant où le fragment sera stocké.

--fragment-path -p

Chemin d’accès à un fichier de fragment de stratégie existant à utiliser avec --generate-import. Cette option vous permet de créer des instructions d’importation pour le fragment spécifié sans avoir à l’extraire d’un registre OCI.

--fragments-json -j

Chemin d’accès à un fichier JSON qui stocke les informations d’importation de fragment générées lors de l’utilisation de --generate-import. Ce fichier peut ensuite être alimenté dans la commande de génération de stratégie (acipolicygen) pour inclure le fragment dans une stratégie nouvelle ou existante. Si elle n’est pas spécifiée, l’instruction import est imprimée dans la console au lieu d’être enregistrée dans un fichier.

--generate-import -g

Générez une instruction d’importation pour un fragment de stratégie.

Valeur par défaut: False
--image

Image à utiliser pour le fragment de stratégie généré.

--image-target

Cible d’image où le fragment de stratégie généré est attaché.

--input -i

Chemin d’accès à un fichier JSON contenant la configuration du fragment de stratégie généré.

--key -k

Chemin d’accès au fichier de clé au format .pem à utiliser pour signer le fragment de stratégie généré. Cela doit être utilisé avec --chain.

--minimum-svn

Utilisé avec --generate-import pour spécifier le SVN minimal pour l’instruction import.

--namespace -n

Espace de noms à utiliser pour le fragment de stratégie généré.

--no-print

N’imprimez pas le fragment de stratégie généré dans stdout.

Valeur par défaut: False
--omit-id

Lorsqu’elle est activée, la stratégie générée ne contient pas le champ ID. Cela empêche la stratégie d’être liée à un nom et une balise d’image spécifiques. Cela est utile si l’image utilisée sera présente dans plusieurs registres et utilisée de manière interchangeable.

Valeur par défaut: False
--output-filename

Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.

--outraw

Stratégie de sortie en json compact de texte clair au lieu du format d’impression par défaut.

Valeur par défaut: False
--svn

Numéro minimal de version du logiciel autorisé pour le fragment de stratégie généré. Il doit s’agir d’un entier monotoniquement croissant.

--tar

Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.

--upload-fragment -u

Lorsque cette option est activée, le fragment de stratégie généré est chargé dans le Registre de l’image utilisée.

Valeur par défaut: False
Paramètres globaux
--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az confcom acipolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Exemples

Entrez un fichier de modèle ARM pour injecter une stratégie de sécurité de conteneur confidentielle encodée en base64 dans le modèle ARM

az confcom acipolicygen --template-file "./template.json"

Entrez un fichier de modèle ARM pour créer une stratégie de sécurité de conteneur confidentiel lisible par l’homme

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Entrez un fichier de modèle ARM pour enregistrer une stratégie de sécurité de conteneur confidentiel dans un fichier sous forme de texte encodé en base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Entrez un fichier de modèle ARM et utilisez un fichier tar comme source d’image au lieu du démon Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Entrer un fichier de modèle ARM et utiliser un fichier JSON fragments pour générer une stratégie

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Paramètres facultatifs

--approve-wildcards -y

Lorsque cette option est activée, toutes les invites d’utilisation de caractères génériques dans les variables d’environnement sont automatiquement approuvées.

Valeur par défaut: False
--debug-mode

Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.

Valeur par défaut: False
--diff -d

En cas de combinaison avec un fichier de modèle ARM d’entrée (ou fichier YAML pour la génération de stratégie de nœud virtuel), vérifie la stratégie présente dans le modèle ARM sous « ccePolicy » et les conteneurs au sein du fichier sont compatibles. S’ils sont incompatibles, une liste de raisons est donnée et le code d’état de sortie est 2.

Valeur par défaut: False
--disable-stdio

Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.

Valeur par défaut: False
--exclude-default-fragments -e

Lorsque cette option est activée, les fragments par défaut ne sont pas inclus dans la stratégie générée. Cela inclut les conteneurs nécessaires pour monter des fichiers Azure, monter des secrets, monter des dépôts git et d’autres fonctionnalités ACI courantes.

Valeur par défaut: False
--faster-hashing

Lorsqu’il est activé, l’algorithme de hachage utilisé pour générer la stratégie est plus rapide, mais moins efficace en mémoire.

Valeur par défaut: False
--fragments-json -j

Chemin d’accès au fichier JSON contenant des informations de fragment à utiliser pour générer une stratégie. Cela nécessite que les fragments --include-soient activés.

--image

Nom de l’image d’entrée.

--include-fragments -f

Lorsqu’il est activé, le chemin spécifié par --fragments-json est utilisé pour extraire des fragments à partir d’un registre OCI ou localement et les inclure dans la stratégie générée.

Valeur par défaut: False
--infrastructure-svn

Numéro de version minimale autorisé du logiciel pour le fragment d’infrastructure.

--input -i

Fichier de configuration JSON d’entrée.

--omit-id

Lorsqu’elle est activée, la stratégie générée ne contient pas le champ ID. Cela empêche la stratégie d’être liée à un nom et une balise d’image spécifiques. Cela est utile si l’image utilisée sera présente dans plusieurs registres et utilisée de manière interchangeable.

Valeur par défaut: False
--outraw

Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.

Valeur par défaut: False
--outraw-pretty-print

Stratégie de sortie en texte clair et format d’impression.

Valeur par défaut: False
--parameters -p

Fichier de paramètres d’entrée pour accompagner éventuellement un modèle ARM.

--print-existing-policy

Lorsqu’elle est activée, la stratégie de sécurité existante présente dans le modèle ARM est imprimée sur la ligne de commande et aucune nouvelle stratégie de sécurité n’est générée.

Valeur par défaut: False
--print-policy

Lorsqu’elle est activée, la stratégie de sécurité générée est imprimée sur la ligne de commande au lieu d’être injectée dans le modèle ARM d’entrée.

Valeur par défaut: False
--save-to-file -s

Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.

--tar

Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.

--template-file -a

Fichier de modèle ARM d’entrée.

--validate-sidecar -v

Vérifiez que l’image utilisée pour générer la stratégie CCE pour un conteneur sidecar sera autorisée par sa stratégie générée.

Valeur par défaut: False
--virtual-node-yaml

Fichier YAML d’entrée pour la génération de stratégie de nœud virtuel.

Paramètres globaux
--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az confcom katapolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Exemples

Entrez un fichier YAML Kubernetes pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML

az confcom katapolicygen --yaml "./pod.json"

Entrez un fichier YAML Kubernetes pour imprimer une stratégie de sécurité de conteneur confidentiel encodée en base64 dans stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Entrez un fichier YAML Kubernetes et un fichier de paramètres personnalisés pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Entrer un fichier YAML Kubernetes et un fichier map de configuration externe

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Entrer un fichier YAML Kubernetes et un fichier de règles personnalisées

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Entrer un fichier YAML Kubernetes avec un chemin de socket conteneur personnalisé

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Paramètres facultatifs

--config-map-file -c

Chemin d’accès au fichier de carte de configuration.

--containerd-pull -d

Utilisez le conteneur pour extraire l’image. Cette option est uniquement prise en charge sur Linux.

Valeur par défaut: False
--containerd-socket-path

Chemin d’accès au socket conteneur. Cette option est uniquement prise en charge sur Linux.

--outraw

Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.

Valeur par défaut: False
--print-policy

Imprimez la stratégie générée en base64 dans le terminal.

Valeur par défaut: False
--print-version -v

Imprimez la version des outils genpolicy.

Valeur par défaut: False
--rules-file-name -p

Chemin d’accès au fichier de règles personnalisées.

--settings-file-name -j

Chemin d’accès au fichier de paramètres personnalisés.

--use-cached-files -u

Utilisez des fichiers mis en cache pour économiser du temps de calcul.

Valeur par défaut: False
--yaml -y

Entrer le fichier Kubernetes YAML.

Paramètres globaux
--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.