az confcom
Nota
Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.
Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.
Comandos
| Name | Description | Tipo | Status |
|---|---|---|---|
| az confcom acipolicygen |
Crie uma política de segurança de contêiner confidencial para ACI. |
Extensão | GA |
| az confcom katapolicygen |
Crie uma Política de Segurança de Contêiner Confidencial para o AKS. |
Extensão | GA |
az confcom acipolicygen
Crie uma política de segurança de contêiner confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Exemplos
Insira um arquivo de modelo ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo ARM
az confcom acipolicygen --template-file "./template.json"Insira um arquivo de modelo ARM para criar uma Política de Segurança de Contêiner Confidencial legível por humanos
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printInsira um arquivo de modelo ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyInsira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Parâmetros Opcionais
Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.
Quando ativada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso ao stdio, a capacidade de despejar rastreamentos de pilha e permite o registro em tempo de execução. Recomenda-se usar essa opção apenas para fins de depuração.
Quando combinado com um modelo ARM de entrada, verifica se a política presente no modelo ARM em "ccePolicy" e os contêineres dentro do modelo ARM são compatíveis. Se forem incompatíveis, é dada uma lista de razões e o código de estado de saída será 2.
Quando ativado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Quando ativado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.
Nome da imagem de entrada.
Número mínimo de versão de software permitido para o fragmento de infraestrutura.
Arquivo de configuração JSON de entrada.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Política de saída em texto claro e formato de impressão bonito.
Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo ARM.
Quando habilitada, a diretiva de segurança existente presente no Modelo ARM é impressa na linha de comando e nenhuma nova diretiva de segurança é gerada.
Quando habilitada, a diretiva de segurança gerada é impressa na linha de comando em vez de injetada no modelo ARM de entrada.
Salve a política de saída em determinado caminho de arquivo.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Insira o arquivo de modelo ARM.
Valide se a imagem usada para gerar a Política de CCE para um contêiner de sidecar será permitida por sua política gerada.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az confcom katapolicygen
Crie uma Política de Segurança de Contêiner Confidencial para o AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Exemplos
Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json"Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyInsira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Insira um arquivo YAML do Kubernetes com um caminho de soquete em contêiner personalizado
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parâmetros Opcionais
Caminho para o arquivo de mapa de configuração.
Use containerd para puxar a imagem. Esta opção só é suportada no Linux.
Caminho para o soquete em contêiner. Esta opção só é suportada no Linux.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Imprima a política gerada codificada em base64 no terminal.
Imprima a versão das ferramentas genpolicy.
Caminho para o arquivo de regras personalizadas.
Caminho para o arquivo de configurações personalizadas.
Use arquivos armazenados em cache para economizar tempo de computação.
Insira o arquivo YAML Kubernetes.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
