az confcom
Note
このリファレンスは、Azure CLI (バージョン 2.26.2 以降) の confcom 拡張機能の一部です。 拡張機能は、 az confcom コマンドを初めて実行するときに自動的にインストールされます。 拡張機能の詳細については、 を参照してください。
Azure で機密コンテナーのセキュリティ ポリシーを生成するコマンド。
コマンド
| 名前 | 説明 | 型 | 状態 |
|---|---|---|---|
| az confcom acifragmentgen |
ACI 用の機密コンテナー ポリシー フラグメントを作成します。 |
Extension | GA |
| az confcom acipolicygen |
ACI の機密コンテナー セキュリティ ポリシーを作成します。 |
Extension | GA |
| az confcom fragment |
機密コンテナー ポリシー フラグメントを処理するコマンド。 |
Extension | GA |
| az confcom fragment attach |
機密コンテナー ポリシー フラグメントを ORAS レジストリ内のイメージにアタッチします。 |
Extension | Preview |
| az confcom fragment push |
機密コンテナー ポリシー フラグメントを ORAS レジストリにプッシュします。 |
Extension | Preview |
| az confcom katapolicygen |
AKS 用の機密コンテナー セキュリティ ポリシーを作成します。 |
Extension | GA |
az confcom acifragmentgen
ACI 用の機密コンテナー ポリシー フラグメントを作成します。
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]例
画像名を入力して単純なフラグメントを生成する
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldカスタム名前空間とデバッグ モードが有効になっているフラグメントを生成する構成ファイルを入力する
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode署名されたローカル フラグメントの import ステートメントを生成する
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1フラグメントを生成し、キーとチェーンを使用して COSE で署名する
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printイメージ名からフラグメント インポートを生成する
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1指定したイメージにフラグメントをアタッチする
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>オプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
生成されたポリシー フラグメントの署名に使用されるアルゴリズム。 これは、--key と --chain と共に使用する必要があります。 サポートされているアルゴリズムは['PS256'、'PS384'、'PS512'、'ES256'、'ES384'、'ES512'、'EdDSA'です。
| プロパティ | 値 |
|---|---|
| 規定値: | ES384 |
生成されたポリシー フラグメントの署名に使用する .pem 形式の証明書チェーン ファイルへのパス。 これは --key と共に使用する必要があります。
有効にすると、生成されたセキュリティ ポリシーによって、/bin/sh または /bin/bash を使用してコンテナーをデバッグする機能が追加されます。 また、stdio アクセス、スタック トレースをダンプする機能も有効になり、ランタイム ログが有効になります。 デバッグ目的でのみこのオプションを使用することをお勧めします。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、コンテナー グループ内のコンテナーは stdio にアクセスできません。
コンテナーから離れる標準の io ストリームを有効にします。
生成されたポリシー フラグメントに使用するフィード。 これは通常、イメージ添付フラグメントを使用する場合のイメージ名と同じです。 これは、フラグメントが格納されるリモート リポジトリ内の場所です。
--generate-import で使用する既存の署名済みポリシー フラグメント ファイルへのパス。 このオプションを使用すると、OCI レジストリから明示的にプルしなくても、指定されたフラグメントの import ステートメントを作成できます。 ローカル パスまたは OCI レジストリ参照を指定できます。 ローカル フラグメントの場合、ファイルは同じ場所に残ります。 リモート フラグメントの場合、ファイルはダウンロードされ、処理後にクリーンアップされます。
--generate-import を使用するときに生成されたフラグメント インポート情報を格納する JSON ファイルへのパス。 このファイルは、後でポリシー生成コマンド (acipolicygen) にフィードして、新規または既存のポリシーにフラグメントを含めることができます。 指定しない場合、import ステートメントは、ファイルに保存されるのではなく、コンソールに出力されます。
ポリシー フラグメントの import ステートメントを生成します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
生成されたポリシー フラグメントに使用するイメージ。
生成されたポリシー フラグメントがアタッチされているイメージ ターゲット。
生成されたポリシー フラグメントの構成を含む JSON ファイルへのパス。
生成されたポリシー フラグメントの署名に使用する .pem 形式のキー ファイルへのパス。 これは --chain と共に使用する必要があります。
--generate-import と共に使用して、import ステートメントの最小 SVN を指定します。
生成されたポリシー フラグメントに使用する名前空間。
生成されたポリシー フラグメントを stdout に出力しないでください。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、生成されたポリシーに ID フィールドは含まれません。 これにより、ポリシーが特定のイメージ名とタグに関連付けられなくなります。 これは、使用されているイメージが複数のレジストリに存在し、同じ意味で使用される場合に役立ちます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
署名済みフラグメント バイトのみを出力します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力ポリシーを特定のファイル パスに保存します。
既定の美しい印刷形式ではなく、クリア テキストのコンパクトな JSON の出力ポリシー。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
生成されたポリシー フラグメントの最小許容ソフトウェア バージョン番号。 これは単調に増加する整数である必要があります。
イメージ レイヤーを含む tarball へのパス、またはイメージ レイヤーの tarball へのパスを含む JSON ファイルへのパス。
有効にすると、生成されたポリシー フラグメントが、使用されているイメージのレジストリにアップロードされます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
ポリシーに含めるコンテナー定義。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az confcom acipolicygen
ACI の機密コンテナー セキュリティ ポリシーを作成します。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]例
ARM テンプレート ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを ARM テンプレートに挿入する
az confcom acipolicygen --template-file "./template.json"ARM テンプレート ファイルを入力して、人間が判読できる機密コンテナー セキュリティ ポリシーを作成する
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print秘密コンテナー セキュリティ ポリシーを base64 でエンコードされたテキストとしてファイルに保存する ARM テンプレート ファイルを入力する
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyARM テンプレート ファイルを入力し、Docker デーモンの代わりにイメージ ソースとして tar ファイルを使用する
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"ARM テンプレート ファイルを入力し、フラグメント JSON ファイルを使用してポリシーを生成する
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsオプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
有効にすると、環境変数でワイルドカードを使用するためのすべてのプロンプトが自動的に承認されます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、生成されたセキュリティ ポリシーによって、/bin/sh または /bin/bash を使用してコンテナーをデバッグする機能が追加されます。 また、stdio アクセス、スタック トレースをダンプする機能も有効になり、ランタイム ログが有効になります。 デバッグ目的でのみこのオプションを使用することをお勧めします。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
入力 ARM テンプレート ファイル (または仮想ノード ポリシー生成用の YAML ファイル) と組み合わせると、ARM テンプレートの "ccePolicy" の下に存在するポリシーが検証され、ファイル内のコンテナーに互換性があります。 互換性がない場合は、理由の一覧が表示され、終了状態コードは 2 になります。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、コンテナー グループ内のコンテナーは stdio にアクセスできません。
コンテナーから離れる標準の io ストリームを有効にします。
有効にすると、生成されたポリシーに既定のフラグメントは含まれません。 これには、Azure ファイルのマウント、シークレットのマウント、Git リポジトリのマウント、およびその他の一般的な ACI 機能に必要なコンテナーが含まれます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、ポリシーの生成に使用されるハッシュ アルゴリズムは高速ですが、メモリ効率は低下します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
ポリシーの生成に使用するフラグメント情報を含む JSON ファイルへのパス。 これには、--include-fragments を有効にする必要があります。
入力イメージ名。
有効にすると、--fragments-json で指定されたパスを使用して、OCI レジストリまたはローカルからフラグメントをプルし、生成されたポリシーに含めます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
インフラストラクチャ フラグメントで許可される最小ソフトウェア バージョン番号。
JSON 構成ファイルを入力します。
有効にすると、生成されたポリシーに ID フィールドは含まれません。 これにより、ポリシーが特定のイメージ名とタグに関連付けられなくなります。 これは、使用されているイメージが複数のレジストリに存在し、同じ意味で使用される場合に役立ちます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
クリア テキストと美しい印刷形式の出力ポリシー。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
オプションで ARM テンプレートに付随する入力パラメーター ファイル。
有効にすると、ARM テンプレートに存在する既存のセキュリティ ポリシーがコマンド ラインに出力され、新しいセキュリティ ポリシーは生成されません。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
有効にすると、生成されたセキュリティ ポリシーは、入力 ARM テンプレートに挿入されるのではなく、コマンド ラインに出力されます。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力ポリシーを特定のファイル パスに保存します。
イメージ レイヤーを含む tarball へのパス、またはイメージ レイヤーの tarball へのパスを含む JSON ファイルへのパス。
ARM テンプレート ファイルを入力します。
サイドカー コンテナーの CCE ポリシーの生成に使用されるイメージが、生成されたポリシーによって許可されることを検証します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
仮想ノード ポリシー生成用の入力 YAML ファイル。
ポリシーに含めるコンテナー定義。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
az confcom katapolicygen
AKS 用の機密コンテナー セキュリティ ポリシーを作成します。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]例
Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入する
az confcom katapolicygen --yaml "./pod.json"Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを stdout に出力します
az confcom katapolicygen --yaml "./pod.json" --print-policyKubernetes YAML ファイルとカスタム設定ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入します
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Kubernetes YAML ファイルと外部構成マップ ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Kubernetes YAML ファイルとカスタム ルール ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"カスタム コンテナー ソケット パスを使用して Kubernetes YAML ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"オプションのパラメーター
次のパラメーターは省略可能ですが、コマンドを正常に実行するには、状況に応じて 1 つ以上が必要になる場合があります。
構成マップ ファイルへのパス。
コンテナー化を使用してイメージをプルします。 このオプションは Linux でのみサポートされています。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
コンテナー化されたソケットへのパス。 このオプションは Linux でのみサポートされています。
既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
base64 でエンコードされた生成されたポリシーをターミナルに出力します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
genpolicy ツールのバージョンを印刷します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
カスタム ルール ファイルへのパス。
カスタム設定ファイルへのパス。
キャッシュされたファイルを使用して、計算時間を節約します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
YAML Kubernetes ファイルを入力します。
グローバル パラメーター
ログの詳細度を上げて、すべてのデバッグ ログを表示します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告を抑制します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
出力フォーマット。
| プロパティ | 値 |
|---|---|
| 規定値: | json |
| 指定可能な値: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。
ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。
| プロパティ | 値 |
|---|---|
| 規定値: | False |
