az confcom
Note
Ta dokumentacja jest częścią rozszerzenia confcom dla interfejsu wiersza polecenia platformy Azure (wersja 2.26.2 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az confcom . Dowiedz się więcej o rozszerzeniach.
Polecenia służące do generowania zasad zabezpieczeń dla kontenerów poufnych na platformie Azure.
Polecenia
| Nazwa | Opis | Typ | Stan |
|---|---|---|---|
| az confcom acifragmentgen |
Utwórz poufny fragment zasad kontenera dla usługi ACI. |
Extension | ogólna dostępność |
| az confcom acipolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI. |
Extension | ogólna dostępność |
| az confcom fragment |
Polecenia do obsługi poufnych fragmentów zasad kontenera. |
Extension | ogólna dostępność |
| az confcom fragment attach |
Dołącz poufny fragment zasad kontenera do obrazu w rejestrze ORAS. |
Extension | Preview |
| az confcom fragment push |
Wypchnij poufny fragment zasad kontenera do rejestru ORAS. |
Extension | Preview |
| az confcom katapolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS. |
Extension | ogólna dostępność |
az confcom acifragmentgen
Utwórz poufny fragment zasad kontenera dla usługi ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Przykłady
Wprowadzanie nazwy obrazu w celu wygenerowania prostego fragmentu
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldWprowadzanie pliku konfiguracji w celu wygenerowania fragmentu z niestandardową przestrzenią nazw i włączonym trybem debugowania
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGenerowanie instrukcji importu dla podpisanego fragmentu lokalnego
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Generowanie fragmentu i znak COSE za pomocą klucza i łańcucha
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGenerowanie importu fragmentu na podstawie nazwy obrazu
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Dołączanie fragmentu do określonego obrazu
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden z nich może stać się wymagany do pomyślnego wykonania polecenia.
Algorytm używany do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key i --chain. Obsługiwane algorytmy to ["PS256", "PS384", "PS512", "ES256", "ES384", "ES512", "EdDSA".
| Własność | Wartość |
|---|---|
| Wartość domyślna: | ES384 |
Ścieżka do pliku łańcucha certyfikatów sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key.
Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.
Włącz standardowe strumienie we/wy, aby pozostawić kontener.
Źródło danych do użycia dla wygenerowanego fragmentu zasad. Jest to zwykle takie samo jak nazwa obrazu podczas używania fragmentów dołączonych do obrazu. Jest to lokalizacja w repozytorium zdalnym, w którym będzie przechowywany fragment.
Ścieżka do istniejącego podpisanego pliku fragmentu zasad, który ma być używany z parametrem --generate-import. Ta opcja umożliwia tworzenie instrukcji importu dla określonego fragmentu bez konieczności jawnego ściągania go z rejestru OCI. Może to być ścieżka lokalna lub odwołanie do rejestru OCI. W przypadku fragmentów lokalnych plik pozostanie w tej samej lokalizacji. W przypadku fragmentów zdalnych plik zostanie pobrany i oczyszczony po przetworzeniu.
Ścieżka do pliku JSON, który będzie przechowywać informacje importowania fragmentu wygenerowane podczas korzystania z polecenia --generate-import. Ten plik można później wprowadzić do polecenia generowania zasad (acipolicygen), aby uwzględnić fragment w nowych lub istniejących zasadach. Jeśli nie zostanie określona, instrukcja import zostanie wydrukowana w konsoli zamiast zapisywać w pliku.
Generowanie instrukcji importu dla fragmentu zasad.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Obraz do użycia dla wygenerowanego fragmentu zasad.
Obiekt docelowy obrazu, w którym jest dołączony wygenerowany fragment zasad.
Ścieżka do pliku JSON zawierającego konfigurację wygenerowanego fragmentu zasad.
Ścieżka do pliku klucza sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --chain.
Używany z --generate-import, aby określić minimalną nazwę SVN dla instrukcji import.
Przestrzeń nazw do użycia dla wygenerowanego fragmentu zasad.
Nie drukuj wygenerowanego fragmentu zasad do stdout.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Emituj tylko podpisane bajty fragmentów.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Zapisz zasady danych wyjściowych dla danej ścieżki pliku.
Zasady danych wyjściowych w formacie JSON kompaktowym w postaci zwykłego tekstu zamiast domyślnego formatu drukowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Minimalny dozwolony numer wersji oprogramowania dla wygenerowanego fragmentu zasad. Powinna to być monotonicznie rosnąca liczba całkowita.
Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.
Po włączeniu wygenerowany fragment zasad zostanie przekazany do rejestru używanego obrazu.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Definicje kontenerów do uwzględnienia w zasadach.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Format danych wyjściowych.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | json |
| Akceptowane wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
az confcom acipolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Przykłady
Wprowadzanie pliku szablonu usługi ARM w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do szablonu usługi ARM
az confcom acipolicygen --template-file "./template.json"Wprowadzanie pliku szablonu usługi ARM w celu utworzenia czytelnych dla człowieka poufnych zasad zabezpieczeń kontenera
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printWprowadzanie pliku szablonu usługi ARM w celu zapisania poufnych zasad zabezpieczeń kontenera w pliku jako tekstu zakodowanego w formacie base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyWprowadzanie pliku szablonu usługi ARM i używanie pliku tar jako źródła obrazu zamiast demona platformy Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Wprowadzanie pliku szablonu usługi ARM i używanie pliku JSON fragmentów do generowania zasad
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsParametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden z nich może stać się wymagany do pomyślnego wykonania polecenia.
Po włączeniu wszystkie monity dotyczące używania symboli wieloznacznych w zmiennych środowiskowych są automatycznie zatwierdzane.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
W połączeniu z wejściowym plikiem szablonu usługi ARM (lub plikiem YAML dla generowania zasad węzła wirtualnego) sprawdza, czy zasady znajdują się w szablonie usługi ARM w obszarze "ccePolicy", a kontenery w pliku są zgodne. Jeśli są one niezgodne, zostanie podana lista przyczyn, a kod stanu zakończenia będzie wynosić 2.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.
Włącz standardowe strumienie we/wy, aby pozostawić kontener.
Po włączeniu domyślne fragmenty nie są uwzględniane w wygenerowanych zasadach. Obejmuje to kontenery potrzebne do zainstalowania plików platformy Azure, zainstalowania wpisów tajnych, zainstalowania repozytoriów git i innych typowych funkcji usługi ACI.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu algorytm tworzenia skrótów używany do generowania zasad jest szybszy, ale mniej wydajny w pamięci.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Ścieżka do pliku JSON zawierającego informacje o fragmentach do użycia do generowania zasad. Wymaga to włączenia fragmentów --include-.
Nazwa obrazu wejściowego.
Po włączeniu tej opcji ścieżka określona przez plik --fragments-json będzie używana do ściągania fragmentów z rejestru OCI lub lokalnie i dołączania ich do wygenerowanych zasad.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Minimalny dozwolony numer wersji oprogramowania dla fragmentu infrastruktury.
Wejściowy plik konfiguracji JSON.
Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Zasady danych wyjściowych w formacie zwykłego tekstu i dość wydruku.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Plik parametrów wejściowych, który opcjonalnie towarzyszy szablonowi usługi ARM.
Po włączeniu istniejące zasady zabezpieczeń obecne w szablonie usługi ARM są drukowane w wierszu polecenia i nie są generowane żadne nowe zasady zabezpieczeń.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Po włączeniu wygenerowane zasady zabezpieczeń są drukowane w wierszu polecenia zamiast wstrzykiwać do wejściowego szablonu usługi ARM.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Zapisz zasady danych wyjściowych dla danej ścieżki pliku.
Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.
Wejściowy plik szablonu usługi ARM.
Sprawdź, czy obraz użyty do wygenerowania zasad CCE dla kontenera przyczepki będzie dozwolony przez wygenerowane zasady.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Wejściowy plik YAML na potrzeby generowania zasad węzła wirtualnego.
Definicje kontenerów do uwzględnienia w zasadach.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Format danych wyjściowych.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | json |
| Akceptowane wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
az confcom katapolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Przykłady
Wprowadzanie pliku YAML kubernetes w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json"Wprowadzanie pliku YAML kubernetes w celu wydrukowania zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do elementu stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyWprowadzanie pliku YAML kubernetes i pliku ustawień niestandardowych w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Wprowadzanie pliku YAML kubernetes i zewnętrznego pliku mapy konfiguracji
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Wprowadzanie pliku YAML kubernetes i pliku reguł niestandardowych
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Wprowadzanie pliku YAML kubernetes z niestandardową ścieżką gniazda kontenera
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden z nich może stać się wymagany do pomyślnego wykonania polecenia.
Ścieżka do pliku mapy konfiguracji.
Użyj kontenera, aby ściągnąć obraz. Ta opcja jest obsługiwana tylko w systemie Linux.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Ścieżka do gniazda kontenera. Ta opcja jest obsługiwana tylko w systemie Linux.
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Wydrukuj wygenerowane zasady zakodowane w formacie base64 w terminalu.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Wyświetl wersję narzędzi genpolicy.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Ścieżka do pliku reguł niestandardowych.
Ścieżka do pliku ustawień niestandardowych.
Użyj buforowanych plików, aby zaoszczędzić czas obliczeń.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Wejściowy plik Kubernetes YAML.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
Format danych wyjściowych.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | json |
| Akceptowane wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Własność | Wartość |
|---|---|
| Wartość domyślna: | False |
