az confcom
Note
Essa referência faz parte da extensão de configuração da CLI do Azure (versão 2.26.2 ou superior). A extensão instalará automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.
Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.
Comandos
| Nome | Description | Tipo | Status |
|---|---|---|---|
| az confcom acifragmentgen |
Crie um fragmento de política de contêiner confidencial para a ACI. |
Extension | GA |
| az confcom acipolicygen |
Crie uma política de segurança de contêiner confidencial para ACI. |
Extension | GA |
| az confcom fragment |
Comandos para lidar com fragmentos de política de contêiner confidencial. |
Extension | GA |
| az confcom fragment attach |
Anexe um fragmento de política de contêiner confidencial a uma imagem em um registro ORAS. |
Extension | Preview |
| az confcom fragment push |
Envie por push um fragmento de política de contêiner confidencial para um registro ORAS. |
Extension | Preview |
| az confcom katapolicygen |
Crie uma política de segurança de contêiner confidencial para o AKS. |
Extension | GA |
az confcom acifragmentgen
Crie um fragmento de política de contêiner confidencial para a ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Exemplos
Inserir um nome de imagem para gerar um fragmento simples
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldInsira um arquivo de configuração para gerar um fragmento com um namespace personalizado e o modo de depuração habilitados
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGerar uma instrução de importação para um fragmento local assinado
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Gerar um fragmento e assinar o COSE com uma chave e uma cadeia
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGerar uma importação de fragmento de um nome de imagem
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Anexar um fragmento a uma imagem especificada
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Algoritmo usado para assinar o fragmento de política gerado. Isso deve ser usado com --key e --chain. Os algoritmos com suporte são ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Propriedade | Valor |
|---|---|
| Valor padrão: | ES384 |
Caminho para o arquivo de cadeia de certificados formatado .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --key.
Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Habilite os fluxos de e/s padrão para deixar o contêiner.
Feed a ser usado para o fragmento de política gerado. Normalmente, isso é o mesmo que o nome da imagem ao usar fragmentos anexados à imagem. É o local no repositório remoto onde o fragmento será armazenado.
Caminho para um arquivo de fragmento de política assinado existente a ser usado com --generate-import. Essa opção permite que você crie instruções de importação para o fragmento especificado sem a necessidade de retirá-lo explicitamente de um registro OCI. Pode ser um caminho local ou uma referência do Registro OCI. Para fragmentos locais, o arquivo permanecerá no mesmo local. Para fragmentos remotos, o arquivo será baixado e limpo após o processamento.
Caminho para um arquivo JSON que armazenará as informações de importação de fragmento geradas ao usar --generate-import. Posteriormente, esse arquivo pode ser alimentado no comando de geração de política (acipolicygen) para incluir o fragmento em uma política nova ou existente. Se não for especificado, a instrução de importação será impressa no console em vez de ser salva em um arquivo.
Gere uma instrução de importação para um fragmento de política.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Imagem a ser usada para o fragmento de política gerado.
Destino de imagem em que o fragmento de política gerado está anexado.
Caminho para um arquivo JSON que contém a configuração do fragmento de política gerado.
Caminho para o arquivo de chave formatado .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --chain.
Usado com --generate-import para especificar o SVN mínimo para a instrução de importação.
Namespace a ser usado para o fragmento de política gerado.
Não imprima o fragmento de política gerado para stdout.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitada, a política gerada não conterá o campo ID. Isso impedirá que a política seja vinculada a um nome e uma marca de imagem específicos. Isso será útil se a imagem que está sendo usada estiver presente em vários registros e usada de forma intercambiável.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Emita apenas os bytes de fragmento assinados.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Salve a política de saída no caminho do arquivo fornecido.
Política de saída em JSON compacto de texto claro em vez de formato de impressão bastante padrão.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Número mínimo de versão de software permitido para o fragmento de política gerado. Esse deve ser um inteiro monotonicamente crescente.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Quando habilitado, o fragmento de política gerado será carregado no registro da imagem que está sendo usada.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Definições de contêiner a serem incluídas na política.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az confcom acipolicygen
Crie uma política de segurança de contêiner confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Exemplos
Insira um arquivo de modelo do ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo do ARM
az confcom acipolicygen --template-file "./template.json"Insira um arquivo de modelo do ARM para criar uma política de segurança de contêiner confidencial legível
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printInsira um arquivo de modelo do ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyInsira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Insira um arquivo arm template e use um arquivo JSON de fragmentos para gerar uma política
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsParâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando combinado com um arquivo de modelo arm de entrada (ou arquivo YAML para geração de política de nó virtual), verifica se a política presente no Modelo do ARM em "ccePolicy" e os contêineres dentro do arquivo são compatíveis. Se forem incompatíveis, é fornecida uma lista de motivos e o código de estado de saída será 2.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Habilite os fluxos de e/s padrão para deixar o contêiner.
Quando habilitados, os fragmentos padrão não são incluídos na política gerada. Isso inclui contêineres necessários para montar arquivos do azure, montar segredos, montar repositórios git e outros recursos comuns da ACI.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Caminho para o arquivo JSON que contém informações de fragmento a serem usadas para gerar uma política. Isso requer que --include-fragments seja habilitado.
Nome da imagem de entrada.
Quando habilitado, o caminho especificado por --fragments-json será usado para extrair fragmentos de um registro OCI ou localmente e incluí-los na política gerada.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Número mínimo permitido da versão do software para o fragmento de infraestrutura.
Insira o arquivo de configuração JSON.
Quando habilitada, a política gerada não conterá o campo ID. Isso impedirá que a política seja vinculada a um nome e uma marca de imagem específicos. Isso será útil se a imagem que está sendo usada estiver presente em vários registros e usada de forma intercambiável.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Política de saída em texto claro e formato de impressão bonito.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo do ARM.
Quando habilitado, a política de segurança existente que está presente no Modelo do ARM é impressa na linha de comando e nenhuma nova política de segurança é gerada.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Quando habilitada, a política de segurança gerada é impressa na linha de comando em vez de injetada no modelo do ARM de entrada.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Salve a política de saída no caminho do arquivo fornecido.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Insira o arquivo de modelo do ARM.
Valide se a imagem usada para gerar a política CCE para um contêiner sidecar será permitida por sua política gerada.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Insira o arquivo YAML para geração de política de nó virtual.
Definições de contêiner a serem incluídas na política.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az confcom katapolicygen
Crie uma política de segurança de contêiner confidencial para o AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Exemplos
Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json"Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyInsira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Inserir um arquivo YAML do Kubernetes com um caminho de soquete containerd personalizado
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Caminho para o arquivo de mapa de configuração.
Use containerd para extrair a imagem. Esta opção só é suportada no Linux.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Caminho para o soquete containerd. Esta opção só é suportada no Linux.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Imprima a política gerada codificada em base64 no terminal.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Imprima a versão das ferramentas genpolicy.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Caminho para o arquivo de regras personalizadas.
Caminho para o arquivo de configurações personalizadas.
Use arquivos em cache para economizar tempo de computação.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Insira o arquivo YAML do Kubernetes.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
