az confcom

Kommentar

Den här referensen är en del av confcom-tillägget för Azure CLI (version 2.26.2 eller senare). Tillägget installeras automatiskt första gången du kör ett az confcom-kommando . Läs mer om tillägg.

Kommandon för att generera säkerhetsprinciper för konfidentiella containrar i Azure.

Kommandon

Name	Description	Typ	Status
az confcom acifragmentgen	Skapa ett fragment av en konfidentiell containerprincip för ACI.	Anknytning	Allmän tillgänglighet
az confcom acipolicygen	Skapa en säkerhetsprincip för konfidentiell container för ACI.	Anknytning	Allmän tillgänglighet
az confcom katapolicygen	Skapa en säkerhetsprincip för konfidentiell container för AKS.	Anknytning	Allmän tillgänglighet

az confcom acifragmentgen

Skapa ett fragment av en konfidentiell containerprincip för ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Exempel

Ange ett bildnamn för att generera ett enkelt fragment

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Ange en konfigurationsfil för att generera ett fragment med ett anpassat namnområde och felsökningsläget aktiverat

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Generera en importinstruktion för ett signerat lokalt fragment

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Generera ett fragment och COSE signerar det med en nyckel och en kedja

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Generera en fragmentimport från ett avbildningsnamn

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Koppla ett fragment till en angiven bild

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Valfria parametrar

--algo

Algoritm som används för att signera det genererade principfragmentet. Detta måste användas med --key och --chain. Algoritmer som stöds är ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Standardvärde: ES384

--chain

Sökväg till .pem-formaterad certifikatkedjefil som ska användas för signering av det genererade principfragmentet. Detta måste användas med --key.

--debug-mode

När den genererade säkerhetsprincipen är aktiverad lägger den till möjligheten att använda /bin/sh eller /bin/bash för att felsöka containern. Det har också aktiverat stdio-åtkomst, möjlighet att dumpa stackspårningar och aktivera körningsloggning. Vi rekommenderar att du endast använder det här alternativet för felsökning.

Standardvärde: False

--disable-stdio

När det är aktiverat har containrarna i containergruppen inte åtkomst till stdio.

Standardvärde: False

--feed -f

Feed som ska användas för det genererade principfragmentet. Detta är vanligtvis samma som bildnamnet när du använder bildanslutna fragment. Det är platsen på fjärrlagringsplatsen där fragmentet ska lagras.

--fragment-path -p

Sökväg till en befintlig principfragmentfil som ska användas med --generate-import. Med det här alternativet kan du skapa importinstruktioner för det angivna fragmentet utan att behöva hämta det från ett OCI-register.

--fragments-json -j

Sökväg till en JSON-fil som lagrar den fragmentimportinformation som genereras när du använder --generate-import. Den här filen kan senare matas in i kommandot för principgenerering (acipolicygen) för att inkludera fragmentet i en ny eller befintlig princip. Om det inte anges skrivs importinstruktionen ut till konsolen i stället för att sparas i en fil.

--generate-import -g

Generera en import-instruktion för ett principfragment.

Standardvärde: False

--image

Bild som ska användas för det genererade principfragmentet.

--image-target

Bildmål där det genererade principfragmentet är kopplat.

--input -i

Sökväg till en JSON-fil som innehåller konfigurationen för det genererade principfragmentet.

--key -k

Sökväg till .pem-formaterad nyckelfil som ska användas för signering av det genererade principfragmentet. Detta måste användas med --chain.

--minimum-svn

Används med --generate-import för att ange minsta SVN för import-instruktionen.

--namespace -n

Namnområde som ska användas för det genererade principfragmentet.

--no-print

Skriv inte ut det genererade principfragmentet till stdout.

Standardvärde: False

--omit-id

När den genererade principen är aktiverad innehåller den inte ID-fältet. Detta förhindrar att principen är kopplad till ett specifikt avbildningsnamn och en viss tagg. Det här är användbart om den bild som används finns i flera register och används på ett utbytbart sätt.

Standardvärde: False

--output-filename

Spara utdataprincip till angiven filsökväg.

--outraw

Utdataprincip i kompakt JSON med klartext i stället för standardformat för ganska utskrift.

Standardvärde: False

--svn

Lägsta tillåtna programvaruversionsnummer för det genererade principfragmentet. Detta bör vara ett monotont ökande heltal.

--tar

Sökväg till antingen en tarball som innehåller bildskikt eller en JSON-fil som innehåller sökvägar till tarballs av bildskikt.

--upload-fragment -u

När det är aktiverat laddas det genererade principfragmentet upp till registret för avbildningen som används.

Standardvärde: False

Globala parametrar

--debug

Öka loggningsverositeten för att visa alla felsökningsloggar.

--help -h

Visa det här hjälpmeddelandet och avsluta.

--only-show-errors

Visa bara fel och ignorera varningar.

--output -o

Utdataformat.

Godkända värden: json, jsonc, none, table, tsv, yaml, yamlc

Standardvärde: json

--query

JMESPath-frågesträng. Mer http://jmespath.org/ information och exempel finns i.

--subscription

Namn eller ID för prenumerationen. Du kan konfigurera standardprenumerationen med .az account set -s NAME_OR_ID

--verbose

Öka loggningsverbositeten. Använd --debug för fullständiga felsökningsloggar.

az confcom acipolicygen

Skapa en säkerhetsprincip för konfidentiell container för ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Exempel

Ange en ARM-mallfil för att mata in en base64-kodad säkerhetsprincip för konfidentiell container i ARM-mallen

az confcom acipolicygen --template-file "./template.json"

Ange en ARM-mallfil för att skapa en säkerhetsprincip för konfidentiell container som kan läsas av människor

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Ange en ARM-mallfil för att spara en säkerhetsprincip för konfidentiell container till en fil som base64-kodad text

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Ange en ARM-mallfil och använd en tar-fil som bildkälla i stället för Docker-daemonen

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Ange en ARM-mallfil och använd en fragment-JSON-fil för att generera en princip

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Valfria parametrar

--approve-wildcards -y

När det är aktiverat godkänns alla uppmaningar om att använda jokertecken i miljövariabler automatiskt.

Standardvärde: False

--debug-mode

När den genererade säkerhetsprincipen är aktiverad lägger den till möjligheten att använda /bin/sh eller /bin/bash för att felsöka containern. Det har också aktiverat stdio-åtkomst, möjlighet att dumpa stackspårningar och aktivera körningsloggning. Vi rekommenderar att du endast använder det här alternativet för felsökning.

Standardvärde: False

--diff -d

När den kombineras med en arm-mallfil (eller YAML-fil för principgenerering av virtuell nod) verifierar den princip som finns i ARM-mallen under "ccePolicy" och containrarna i filen är kompatibla. Om de är inkompatibla anges en lista över orsaker och slutstatuskoden blir 2.

Standardvärde: False

--disable-stdio

När det är aktiverat har containrarna i containergruppen inte åtkomst till stdio.

Standardvärde: False

--exclude-default-fragments -e

När det är aktiverat inkluderas inte standardfragmenten i den genererade principen. Detta omfattar containrar som behövs för att montera Azure-filer, montera hemligheter, montera git-lagringsplatser och andra vanliga ACI-funktioner.

Standardvärde: False

--faster-hashing

När den är aktiverad är den hashalgoritm som används för att generera principen snabbare men mindre minneseffektiv.

Standardvärde: False

--fragments-json -j

Sökväg till JSON-fil som innehåller fragmentinformation som ska användas för att generera en princip. Detta kräver att --include-fragment aktiveras.

--image

Namn på indatabild.

--include-fragments -f

När den är aktiverad används sökvägen som anges av --fragment-json för att hämta fragment från ett OCI-register eller lokalt och inkludera dem i den genererade principen.

Standardvärde: False

--infrastructure-svn

Lägsta tillåtna programvaruversionsnummer för Infrastrukturfragment.

--input -i

Indata-JSON-konfigurationsfil.

--omit-id

När den genererade principen är aktiverad innehåller den inte ID-fältet. Detta förhindrar att principen är kopplad till ett specifikt avbildningsnamn och en viss tagg. Det här är användbart om den bild som används finns i flera register och används på ett utbytbart sätt.

Standardvärde: False

--outraw

Utdataprincip i kompakt JSON med klartext i stället för standardformatet base64.

Standardvärde: False

--outraw-pretty-print

Utdataprincip i klartext och ganska utskriftsformat.

Standardvärde: False

--parameters -p

Indataparametrar för att eventuellt följa med en ARM-mall.

--print-existing-policy

När den är aktiverad skrivs den befintliga säkerhetsprincipen som finns i ARM-mallen ut på kommandoraden och ingen ny säkerhetsprincip genereras.

Standardvärde: False

--print-policy

När den här inställningen är aktiverad skrivs den genererade säkerhetsprincipen ut på kommandoraden i stället för att matas in i ARM-indatamallen.

Standardvärde: False

--save-to-file -s

Spara utdataprincip till angiven filsökväg.

--tar

Sökväg till antingen en tarball som innehåller bildskikt eller en JSON-fil som innehåller sökvägar till tarballs av bildskikt.

--template-file -a

Indatafil för ARM-mall.

--validate-sidecar -v

Kontrollera att avbildningen som används för att generera CCE-principen för en sidovagnscontainer tillåts av den genererade principen.

Standardvärde: False

--virtual-node-yaml

Yaml-indatafil för principgenerering av virtuell nod.

Globala parametrar

--debug

Öka loggningsverositeten för att visa alla felsökningsloggar.

--help -h

Visa det här hjälpmeddelandet och avsluta.

--only-show-errors

Visa bara fel och ignorera varningar.

--output -o

Utdataformat.

Godkända värden: json, jsonc, none, table, tsv, yaml, yamlc

Standardvärde: json

--query

JMESPath-frågesträng. Mer http://jmespath.org/ information och exempel finns i.

--subscription

Namn eller ID för prenumerationen. Du kan konfigurera standardprenumerationen med .az account set -s NAME_OR_ID

--verbose

Öka loggningsverbositeten. Använd --debug för fullständiga felsökningsloggar.

az confcom katapolicygen

Skapa en säkerhetsprincip för konfidentiell container för AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Exempel

Mata in en Kubernetes YAML-fil för att mata in en base64-kodad säkerhetsprincip för konfidentiell container i YAML-filen

az confcom katapolicygen --yaml "./pod.json"

Ange en Kubernetes YAML-fil för att skriva ut en base64-kodad säkerhetsprincip för konfidentiell container till stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Ange en Kubernetes YAML-fil och en anpassad inställningsfil för att mata in en base64-kodad säkerhetsprincip för konfidentiell container i YAML-filen

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Ange en Kubernetes YAML-fil och en extern konfigurationsmappningsfil

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Ange en Kubernetes YAML-fil och en anpassad regelfil

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Ange en Kubernetes YAML-fil med en anpassad container-socketsökväg

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Valfria parametrar

--config-map-file -c

Sökväg till konfigurationsmappningsfilen.

--containerd-pull -d

Använd containerd för att hämta avbildningen. Det här alternativet stöds endast i Linux.

Standardvärde: False

--containerd-socket-path

Sökväg till container-socketen. Det här alternativet stöds endast i Linux.

--outraw

Utdataprincip i kompakt JSON med klartext i stället för standardformatet base64.

Standardvärde: False

--print-policy

Skriv ut den base64-kodade genererade principen i terminalen.

Standardvärde: False

--print-version -v

Skriv ut versionen av genpolicy-verktyg.

Standardvärde: False

--rules-file-name -p

Sökväg till filen anpassade regler.

--settings-file-name -j

Sökväg till filen anpassade inställningar.

--use-cached-files -u

Använd cachelagrade filer för att spara vid beräkningstid.

Standardvärde: False

--yaml -y

Yaml Kubernetes-indatafil.

Globala parametrar

--debug

Öka loggningsverositeten för att visa alla felsökningsloggar.

--help -h

Visa det här hjälpmeddelandet och avsluta.

--only-show-errors

Visa bara fel och ignorera varningar.

--output -o

Utdataformat.

Godkända värden: json, jsonc, none, table, tsv, yaml, yamlc

Standardvärde: json

--query

JMESPath-frågesträng. Mer http://jmespath.org/ information och exempel finns i.

--subscription

Namn eller ID för prenumerationen. Du kan konfigurera standardprenumerationen med .az account set -s NAME_OR_ID

--verbose

Öka loggningsverbositeten. Använd --debug för fullständiga felsökningsloggar.