az confcom
Note
Cette référence fait partie de l’extension confcom pour Azure CLI (version 2.26.2 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande az confcom . Apprenez-en davantage sur les extensions.
Commandes permettant de générer des stratégies de sécurité pour les conteneurs confidentiels dans Azure.
Commandes
| Nom | Description | Type | Statut |
|---|---|---|---|
| az confcom acifragmentgen |
Créez un fragment de stratégie de conteneur confidentiel pour ACI. |
Extension | GA |
| az confcom acipolicygen |
Créez une stratégie de sécurité de conteneur confidentielle pour ACI. |
Extension | GA |
| az confcom fragment |
Commandes pour gérer les fragments de stratégie de conteneur confidentiels. |
Extension | GA |
| az confcom fragment attach |
Attachez un fragment de stratégie de conteneur confidentiel à une image dans un registre ORAS. |
Extension | Preview |
| az confcom fragment push |
Envoyez un fragment de stratégie de conteneur confidentiel à un registre ORAS. |
Extension | Preview |
| az confcom katapolicygen |
Créez une stratégie de sécurité de conteneur confidentielle pour AKS. |
Extension | GA |
az confcom acifragmentgen
Créez un fragment de stratégie de conteneur confidentiel pour ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Exemples
Entrer un nom d’image pour générer un fragment simple
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldEntrez un fichier de configuration pour générer un fragment avec un espace de noms personnalisé et le mode débogage activé
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGénérer une instruction d’importation pour un fragment local signé
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Générer un fragment et un signe COSE avec une clé et une chaîne
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGénérer une importation de fragment à partir d’un nom d’image
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Attacher un fragment à une image spécifiée
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Paramètres optionnels
Les paramètres suivants sont facultatifs, mais selon le contexte, un ou plusieurs d’entre eux peuvent être nécessaires pour que la commande s’exécute correctement.
Algorithme utilisé pour signer le fragment de stratégie généré. Cela doit être utilisé avec --key et --chain. Les algorithmes pris en charge sont ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | ES384 |
Chemin d’accès au fichier de chaîne de certificats au format .pem à utiliser pour signer le fragment de stratégie généré. Cela doit être utilisé avec --key.
Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.
Activez les flux Io standard pour quitter le conteneur.
Flux à utiliser pour le fragment de stratégie généré. Il s’agit généralement du même nom que celui de l’image lors de l’utilisation de fragments attachés à l’image. Il s’agit de l’emplacement dans le référentiel distant où le fragment sera stocké.
Chemin d’accès à un fichier de fragment de stratégie signé existant à utiliser avec --generate-import. Cette option vous permet de créer des instructions d’importation pour le fragment spécifié sans avoir à l’extraire explicitement d’un registre OCI. Il peut s’agir d’un chemin d’accès local ou d’une référence de Registre OCI. Pour les fragments locaux, le fichier reste dans le même emplacement. Pour les fragments distants, le fichier sera téléchargé et nettoyé après le traitement.
Chemin d’accès à un fichier JSON qui stocke les informations d’importation de fragment générées lors de l’utilisation de --generate-import. Ce fichier peut ensuite être alimenté dans la commande de génération de stratégie (acipolicygen) pour inclure le fragment dans une stratégie nouvelle ou existante. Si elle n’est pas spécifiée, l’instruction import est imprimée dans la console au lieu d’être enregistrée dans un fichier.
Générez une instruction d’importation pour un fragment de stratégie.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Image à utiliser pour le fragment de stratégie généré.
Cible d’image où le fragment de stratégie généré est attaché.
Chemin d’accès à un fichier JSON contenant la configuration du fragment de stratégie généré.
Chemin d’accès au fichier de clé au format .pem à utiliser pour signer le fragment de stratégie généré. Cela doit être utilisé avec --chain.
Utilisé avec --generate-import pour spécifier le SVN minimal pour l’instruction import.
Espace de noms à utiliser pour le fragment de stratégie généré.
N’imprimez pas le fragment de stratégie généré dans stdout.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’elle est activée, la stratégie générée ne contient pas le champ ID. Cela empêche la stratégie d’être liée à un nom et une balise d’image spécifiques. Cela est utile si l’image utilisée sera présente dans plusieurs registres et utilisée de manière interchangeable.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Émettez uniquement les octets de fragment signés.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.
Stratégie de sortie en json compact de texte clair au lieu du format d’impression par défaut.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Numéro minimal de version du logiciel autorisé pour le fragment de stratégie généré. Il doit s’agir d’un entier monotoniquement croissant.
Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.
Lorsque cette option est activée, le fragment de stratégie généré est chargé dans le Registre de l’image utilisée.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Définitions de conteneur à inclure dans la stratégie.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Format de sortie.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | json |
| Valeurs acceptées: | json, jsonc, none, table, tsv, yaml, yamlc |
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
az confcom acipolicygen
Créez une stratégie de sécurité de conteneur confidentielle pour ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Exemples
Entrez un fichier de modèle ARM pour injecter une stratégie de sécurité de conteneur confidentielle encodée en base64 dans le modèle ARM
az confcom acipolicygen --template-file "./template.json"Entrez un fichier de modèle ARM pour créer une stratégie de sécurité de conteneur confidentiel lisible par l’homme
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEntrez un fichier de modèle ARM pour enregistrer une stratégie de sécurité de conteneur confidentiel dans un fichier sous forme de texte encodé en base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyEntrez un fichier de modèle ARM et utilisez un fichier tar comme source d’image au lieu du démon Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Entrer un fichier de modèle ARM et utiliser un fichier JSON fragments pour générer une stratégie
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsParamètres optionnels
Les paramètres suivants sont facultatifs, mais selon le contexte, un ou plusieurs d’entre eux peuvent être nécessaires pour que la commande s’exécute correctement.
Lorsque cette option est activée, toutes les invites d’utilisation de caractères génériques dans les variables d’environnement sont automatiquement approuvées.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
En cas de combinaison avec un fichier de modèle ARM d’entrée (ou fichier YAML pour la génération de stratégie de nœud virtuel), vérifie la stratégie présente dans le modèle ARM sous « ccePolicy » et les conteneurs au sein du fichier sont compatibles. S’ils sont incompatibles, une liste de raisons est donnée et le code d’état de sortie est 2.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.
Activez les flux Io standard pour quitter le conteneur.
Lorsque cette option est activée, les fragments par défaut ne sont pas inclus dans la stratégie générée. Cela inclut les conteneurs nécessaires pour monter des fichiers Azure, monter des secrets, monter des dépôts git et d’autres fonctionnalités ACI courantes.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’il est activé, l’algorithme de hachage utilisé pour générer la stratégie est plus rapide, mais moins efficace en mémoire.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Chemin d’accès au fichier JSON contenant des informations de fragment à utiliser pour générer une stratégie. Cela nécessite que les fragments --include-soient activés.
Nom de l’image d’entrée.
Lorsqu’il est activé, le chemin spécifié par --fragments-json est utilisé pour extraire des fragments à partir d’un registre OCI ou localement et les inclure dans la stratégie générée.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Numéro de version minimale autorisé du logiciel pour le fragment d’infrastructure.
Fichier de configuration JSON d’entrée.
Lorsqu’elle est activée, la stratégie générée ne contient pas le champ ID. Cela empêche la stratégie d’être liée à un nom et une balise d’image spécifiques. Cela est utile si l’image utilisée sera présente dans plusieurs registres et utilisée de manière interchangeable.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Stratégie de sortie en texte clair et format d’impression.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Fichier de paramètres d’entrée pour accompagner éventuellement un modèle ARM.
Lorsqu’elle est activée, la stratégie de sécurité existante présente dans le modèle ARM est imprimée sur la ligne de commande et aucune nouvelle stratégie de sécurité n’est générée.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Lorsqu’elle est activée, la stratégie de sécurité générée est imprimée sur la ligne de commande au lieu d’être injectée dans le modèle ARM d’entrée.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.
Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.
Fichier de modèle ARM d’entrée.
Vérifiez que l’image utilisée pour générer la stratégie CCE pour un conteneur sidecar sera autorisée par sa stratégie générée.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Fichier YAML d’entrée pour la génération de stratégie de nœud virtuel.
Définitions de conteneur à inclure dans la stratégie.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Format de sortie.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | json |
| Valeurs acceptées: | json, jsonc, none, table, tsv, yaml, yamlc |
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
az confcom katapolicygen
Créez une stratégie de sécurité de conteneur confidentielle pour AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Exemples
Entrez un fichier YAML Kubernetes pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML
az confcom katapolicygen --yaml "./pod.json"Entrez un fichier YAML Kubernetes pour imprimer une stratégie de sécurité de conteneur confidentiel encodée en base64 dans stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEntrez un fichier YAML Kubernetes et un fichier de paramètres personnalisés pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Entrer un fichier YAML Kubernetes et un fichier map de configuration externe
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Entrer un fichier YAML Kubernetes et un fichier de règles personnalisées
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Entrer un fichier YAML Kubernetes avec un chemin de socket conteneur personnalisé
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Paramètres optionnels
Les paramètres suivants sont facultatifs, mais selon le contexte, un ou plusieurs d’entre eux peuvent être nécessaires pour que la commande s’exécute correctement.
Chemin d’accès au fichier de carte de configuration.
Utilisez le conteneur pour extraire l’image. Cette option est uniquement prise en charge sur Linux.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Chemin d’accès au socket conteneur. Cette option est uniquement prise en charge sur Linux.
Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Imprimez la stratégie générée en base64 dans le terminal.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Imprimez la version des outils genpolicy.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Chemin d’accès au fichier de règles personnalisées.
Chemin d’accès au fichier de paramètres personnalisés.
Utilisez des fichiers mis en cache pour économiser du temps de calcul.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Entrer le fichier Kubernetes YAML.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
Format de sortie.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | json |
| Valeurs acceptées: | json, jsonc, none, table, tsv, yaml, yamlc |
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
| Propriété | Valeur |
|---|---|
| Valeur par défaut: | False |
