az confcom
Remarque
Cette référence fait partie de l’extension confcom pour Azure CLI (version 2.26.2 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande az confcom . En savoir plus sur les extensions.
Commandes permettant de générer des stratégies de sécurité pour les conteneurs confidentiels dans Azure.
Commandes
| Nom | Description | Type | État |
|---|---|---|---|
| az confcom acipolicygen |
Créez une stratégie de sécurité de conteneur confidentielle pour ACI. |
Extension | GA |
| az confcom katapolicygen |
Créez une stratégie de sécurité de conteneur confidentielle pour AKS. |
Extension | GA |
az confcom acipolicygen
Créez une stratégie de sécurité de conteneur confidentielle pour ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Exemples
Entrez un fichier de modèle ARM pour injecter une stratégie de sécurité de conteneur confidentielle encodée en base64 dans le modèle ARM
az confcom acipolicygen --template-file "./template.json"Entrez un fichier de modèle ARM pour créer une stratégie de sécurité de conteneur confidentiel lisible par l’homme
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEntrez un fichier de modèle ARM pour enregistrer une stratégie de sécurité de conteneur confidentiel dans un fichier sous forme de texte encodé en base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyEntrez un fichier de modèle ARM et utilisez un fichier tar comme source d’image au lieu du démon Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Paramètres facultatifs
Lorsque cette option est activée, toutes les invites d’utilisation de caractères génériques dans les variables d’environnement sont automatiquement approuvées.
Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.
En cas de combinaison avec un modèle ARM d’entrée, vérifie la stratégie présente dans le modèle ARM sous « ccePolicy » et les conteneurs au sein du modèle ARM sont compatibles. S’ils sont incompatibles, une liste de raisons est donnée et le code d’état de sortie est 2.
Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.
Lorsqu’il est activé, l’algorithme de hachage utilisé pour générer la stratégie est plus rapide, mais moins efficace en mémoire.
Nom de l’image d’entrée.
Numéro de version minimale autorisé du logiciel pour le fragment d’infrastructure.
Fichier de configuration JSON d’entrée.
Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.
Stratégie de sortie en texte clair et format d’impression.
Fichier de paramètres d’entrée pour accompagner éventuellement un modèle ARM.
Lorsqu’elle est activée, la stratégie de sécurité existante présente dans le modèle ARM est imprimée sur la ligne de commande et aucune nouvelle stratégie de sécurité n’est générée.
Lorsqu’elle est activée, la stratégie de sécurité générée est imprimée sur la ligne de commande au lieu d’être injectée dans le modèle ARM d’entrée.
Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.
Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.
Fichier de modèle ARM d’entrée.
Vérifiez que l’image utilisée pour générer la stratégie CCE pour un conteneur sidecar sera autorisée par sa stratégie générée.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az confcom katapolicygen
Créez une stratégie de sécurité de conteneur confidentielle pour AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Exemples
Entrez un fichier YAML Kubernetes pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML
az confcom katapolicygen --yaml "./pod.json"Entrez un fichier YAML Kubernetes pour imprimer une stratégie de sécurité de conteneur confidentiel encodée en base64 dans stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEntrez un fichier YAML Kubernetes et un fichier de paramètres personnalisés pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Entrer un fichier YAML Kubernetes et un fichier map de configuration externe
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Entrer un fichier YAML Kubernetes et un fichier de règles personnalisées
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Entrer un fichier YAML Kubernetes avec un chemin de socket conteneur personnalisé
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Paramètres facultatifs
Chemin d’accès au fichier de carte de configuration.
Utilisez le conteneur pour extraire l’image. Cette option est uniquement prise en charge sur Linux.
Chemin d’accès au socket conteneur. Cette option est uniquement prise en charge sur Linux.
Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.
Imprimez la stratégie générée en base64 dans le terminal.
Imprimez la version des outils genpolicy.
Chemin d’accès au fichier de règles personnalisées.
Chemin d’accès au fichier de paramètres personnalisés.
Utilisez des fichiers mis en cache pour économiser du temps de calcul.
Entrer le fichier Kubernetes YAML.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
