az confcom

Note

このリファレンスは、Azure CLI (バージョン 2.26.2 以降) の confcom 拡張機能の一部です。 拡張機能は、 az confcom コマンドを初めて実行するときに自動的にインストールされます。 拡張機能の詳細をご覧ください。

Azure で機密コンテナーのセキュリティ ポリシーを生成するコマンド。

コマンド

名前	説明	型	状態
az confcom acipolicygen	ACI の機密コンテナー セキュリティ ポリシーを作成します。	拡張子	GA
az confcom katapolicygen	AKS 用の機密コンテナー セキュリティ ポリシーを作成します。	拡張子	GA

az confcom acipolicygen

ACI の機密コンテナー セキュリティ ポリシーを作成します。

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--faster-hashing]
                        [--image]
                        [--infrastructure-svn]
                        [--input]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]

例

ARM テンプレート ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを ARM テンプレートに挿入する

az confcom acipolicygen --template-file "./template.json"

ARM テンプレート ファイルを入力して、人間が判読できる機密コンテナー セキュリティ ポリシーを作成する

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

秘密コンテナー セキュリティ ポリシーを base64 でエンコードされたテキストとしてファイルに保存する ARM テンプレート ファイルを入力する

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

ARM テンプレート ファイルを入力し、Docker デーモンの代わりにイメージ ソースとして tar ファイルを使用する

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

省略可能のパラメーター

--approve-wildcards -y

有効にすると、環境変数でワイルドカードを使用するためのすべてのプロンプトが自動的に承認されます。

規定値: False

--debug-mode

有効にすると、生成されたセキュリティ ポリシーによって、/bin/sh または /bin/bash を使用してコンテナーをデバッグする機能が追加されます。 また、stdio アクセス、スタック トレースをダンプする機能も有効になり、ランタイム ログが有効になります。 デバッグ目的でのみこのオプションを使用することをお勧めします。

規定値: False

--diff -d

入力 ARM テンプレートと組み合わせると、ARM テンプレートの "ccePolicy" の下に存在するポリシーが検証され、ARM テンプレート内のコンテナーに互換性があります。 互換性がない場合は、理由の一覧が表示され、終了状態コードは 2 になります。

規定値: False

--disable-stdio

有効にすると、コンテナー グループ内のコンテナーは stdio にアクセスできません。

規定値: False

--faster-hashing

有効にすると、ポリシーの生成に使用されるハッシュ アルゴリズムは高速ですが、メモリ効率は低下します。

規定値: False

--image

入力イメージ名。

--infrastructure-svn

インフラストラクチャ フラグメントで許可される最小ソフトウェア バージョン番号。

--input -i

JSON 構成ファイルを入力します。

--outraw

既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。

規定値: False

--outraw-pretty-print

クリア テキストと美しい印刷形式の出力ポリシー。

規定値: False

--parameters -p

オプションで ARM テンプレートに付随する入力パラメーター ファイル。

--print-existing-policy

有効にすると、ARM テンプレートに存在する既存のセキュリティ ポリシーがコマンド ラインに出力され、新しいセキュリティ ポリシーは生成されません。

規定値: False

--print-policy

有効にすると、生成されたセキュリティ ポリシーは、入力 ARM テンプレートに挿入されるのではなく、コマンド ラインに出力されます。

規定値: False

--save-to-file -s

出力ポリシーを特定のファイル パスに保存します。

--tar

イメージ レイヤーを含む tarball へのパス、またはイメージ レイヤーの tarball へのパスを含む JSON ファイルへのパス。

--template-file -a

ARM テンプレート ファイルを入力します。

--validate-sidecar -v

サイドカー コンテナーの CCE ポリシーの生成に使用されるイメージが、生成されたポリシーによって許可されることを検証します。

規定値: False

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az confcom katapolicygen

AKS 用の機密コンテナー セキュリティ ポリシーを作成します。

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

例

Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入する

az confcom katapolicygen --yaml "./pod.json"

Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを stdout に出力します

az confcom katapolicygen --yaml "./pod.json" --print-policy

Kubernetes YAML ファイルとカスタム設定ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入します

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Kubernetes YAML ファイルと外部構成マップ ファイルを入力する

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Kubernetes YAML ファイルとカスタム ルール ファイルを入力する

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

カスタム コンテナー ソケット パスを使用して Kubernetes YAML ファイルを入力する

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

省略可能のパラメーター

--config-map-file -c

構成マップ ファイルへのパス。

--containerd-pull -d

コンテナー化を使用してイメージをプルします。 このオプションは Linux でのみサポートされています。

規定値: False

--containerd-socket-path

コンテナー化されたソケットへのパス。 このオプションは Linux でのみサポートされています。

--outraw

既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。

規定値: False

--print-policy

base64 でエンコードされた生成されたポリシーをターミナルに出力します。

規定値: False

--print-version -v

genpolicy ツールのバージョンを印刷します。

規定値: False

--rules-file-name -p

カスタム ルール ファイルへのパス。

--settings-file-name -j

カスタム設定ファイルへのパス。

--use-cached-files -u

キャッシュされたファイルを使用して、計算時間を節約します。

規定値: False

--yaml -y

YAML Kubernetes ファイルを入力します。

グローバル パラメーター

--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc

規定値: json

--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。