az confcom
Note
To odwołanie jest częścią rozszerzenia confcom dla Azure CLI (wersja 2.26.2 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az confcom . Dowiedz się więcej o rozszerzeniach.
Polecenia służące do generowania zasad zabezpieczeń dla kontenerów poufnych w Azure.
Polecenia
| Nazwa | Opis | Typ | Stan |
|---|---|---|---|
| az confcom acifragmentgen |
Utwórz poufny fragment zasad kontenera dla usługi ACI. |
Extension | ogólna dostępność |
| az confcom acipolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI. |
Extension | ogólna dostępność |
| az confcom containers |
Polecenia generujące definicje kontenera zasad zabezpieczeń. |
Extension | ogólna dostępność |
| az confcom containers from_image |
Utwórz definicję kontenera zasad zabezpieczeń na podstawie odwołania do obrazu. |
Extension | ogólna dostępność |
| az confcom containers from_vn2 |
Utwórz definicje kontenerów zasad zabezpieczeń na podstawie szablonu VN2. |
Extension | ogólna dostępność |
| az confcom fragment |
Polecenia do obsługi poufnych fragmentów zasad kontenera. |
Extension | ogólna dostępność |
| az confcom fragment attach |
Dołącz poufny fragment zasad kontenera do obrazu w rejestrze ORAS. |
Extension | Preview |
| az confcom fragment push |
Wypchnij poufny fragment zasad kontenera do rejestru ORAS. |
Extension | Preview |
| az confcom katapolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS. |
Extension | ogólna dostępność |
az confcom acifragmentgen
Utwórz poufny fragment zasad kontenera dla usługi ACI.
az confcom acifragmentgen [--acquire-policy-token]
[--algo]
[--chain]
[--change-reference]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Przykłady
Wprowadzanie nazwy obrazu w celu wygenerowania prostego fragmentu
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldWprowadzanie pliku konfiguracji w celu wygenerowania fragmentu z niestandardową przestrzenią nazw i włączonym trybem debugowania
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGenerowanie instrukcji importu dla podpisanego fragmentu lokalnego
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Generowanie fragmentu i znak COSE za pomocą klucza i łańcucha
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGenerowanie importu fragmentu na podstawie nazwy obrazu
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Dołączanie fragmentu do określonego obrazu
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Algorytm używany do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key i --chain. Obsługiwane algorytmy to ["PS256", "PS384", "PS512", "ES256", "ES384", "ES512", "EdDSA".
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | ES384 |
Ścieżka do pliku łańcucha certyfikatów sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key.
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.
Włącz standardowe strumienie we/wy, aby pozostawić kontener.
Źródło danych do użycia dla wygenerowanego fragmentu zasad. Jest to zwykle takie samo jak nazwa obrazu podczas używania fragmentów dołączonych do obrazu. Jest to lokalizacja w repozytorium zdalnym, w którym będzie przechowywany fragment.
Ścieżka do istniejącego podpisanego pliku fragmentu zasad, który ma być używany z parametrem --generate-import. Ta opcja umożliwia tworzenie instrukcji importu dla określonego fragmentu bez konieczności jawnego ściągania go z rejestru OCI. Może to być ścieżka lokalna lub odwołanie do rejestru OCI. W przypadku fragmentów lokalnych plik pozostanie w tej samej lokalizacji. W przypadku fragmentów zdalnych plik zostanie pobrany i oczyszczony po przetworzeniu.
Ścieżka do pliku JSON, który będzie przechowywać informacje importowania fragmentu wygenerowane podczas korzystania z polecenia --generate-import. Ten plik można później wprowadzić do polecenia generowania zasad (acipolicygen), aby uwzględnić fragment w nowych lub istniejących zasadach. Jeśli nie zostanie określona, instrukcja import zostanie wydrukowana w konsoli zamiast zapisywać w pliku.
Generowanie instrukcji importu dla fragmentu zasad.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Obraz do użycia dla wygenerowanego fragmentu zasad.
Obiekt docelowy obrazu, w którym jest dołączony wygenerowany fragment zasad.
Ścieżka do pliku JSON zawierającego konfigurację wygenerowanego fragmentu zasad.
Ścieżka do pliku klucza sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --chain.
Używany z --generate-import, aby określić minimalną nazwę SVN dla instrukcji import.
Przestrzeń nazw do użycia dla wygenerowanego fragmentu zasad.
Nie drukuj wygenerowanego fragmentu zasad do stdout.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Emituj tylko podpisane bajty fragmentów.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Zapisz zasady danych wyjściowych dla danej ścieżki pliku.
Zasady danych wyjściowych w formacie JSON kompaktowym w postaci zwykłego tekstu zamiast domyślnego formatu drukowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Minimalny dozwolony numer wersji oprogramowania dla wygenerowanego fragmentu zasad. Powinna to być monotonicznie rosnąca liczba całkowita.
Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.
Po włączeniu wygenerowany fragment zasad zostanie przekazany do rejestru używanego obrazu.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Definicje kontenerów do uwzględnienia w zasadach.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az confcom acipolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI.
az confcom acipolicygen [--acquire-policy-token]
[--approve-wildcards]
[--change-reference]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--platform {linux/amd64, windows/amd64}]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Przykłady
Wprowadzanie pliku szablonu usługi ARM w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do szablonu usługi ARM
az confcom acipolicygen --template-file "./template.json"Wprowadzanie pliku szablonu usługi ARM w celu utworzenia czytelnych dla człowieka poufnych zasad zabezpieczeń kontenera
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printWprowadzanie pliku szablonu usługi ARM w celu zapisania poufnych zasad zabezpieczeń kontenera w pliku jako tekstu zakodowanego w formacie base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyWprowadzanie pliku szablonu usługi ARM i używanie pliku tar jako źródła obrazu zamiast demona platformy Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Wprowadzanie pliku szablonu usługi ARM i używanie pliku JSON fragmentów do generowania zasad
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsGenerowanie zasad kontenera Windows (wymaga aplikacji Docker Desktop w trybie kontenerów Windows)
az confcom acipolicygen --template-file "./template.json" --platform windows/amd64 --outraw-pretty-printParametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Po włączeniu wszystkie monity dotyczące używania symboli wieloznacznych w zmiennych środowiskowych są automatycznie zatwierdzane.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
W połączeniu z wejściowym plikiem szablonu usługi ARM (lub plikiem YAML dla generowania zasad węzła wirtualnego) sprawdza, czy zasady znajdują się w szablonie usługi ARM w obszarze "ccePolicy", a kontenery w pliku są zgodne. Jeśli są one niezgodne, zostanie podana lista przyczyn, a kod stanu zakończenia będzie wynosić 2.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.
Włącz standardowe strumienie we/wy, aby pozostawić kontener.
Po włączeniu domyślne fragmenty nie są uwzględniane w wygenerowanych zasadach. Obejmuje to kontenery potrzebne do zainstalowania plików platformy Azure, zainstalowania wpisów tajnych, zainstalowania repozytoriów git i innych typowych funkcji usługi ACI.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Po włączeniu algorytm tworzenia skrótów używany do generowania zasad jest szybszy, ale mniej wydajny w pamięci.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Ścieżka do pliku JSON zawierającego informacje o fragmentach do użycia do generowania zasad. Wymaga to włączenia fragmentów --include-.
Nazwa obrazu wejściowego.
Po włączeniu tej opcji ścieżka określona przez plik --fragments-json będzie używana do ściągania fragmentów z rejestru OCI lub lokalnie i dołączania ich do wygenerowanych zasad.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Minimalny dozwolony numer wersji oprogramowania dla fragmentu infrastruktury.
Wejściowy plik konfiguracji JSON.
Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Zasady danych wyjściowych w formacie zwykłego tekstu i dość wydruku.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Plik parametrów wejściowych, który opcjonalnie towarzyszy szablonowi usługi ARM.
Platforma docelowa generowania zasad (linux/amd64 lub windows/amd64). Wartość domyślna to linux/amd64. Aby można było utworzyć poprawne skróty warstw, program Docker Desktop musi działać w trybie pasującego kontenera.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | linux/amd64 |
| Dopuszczalne wartości: | linux/amd64, windows/amd64 |
Po włączeniu istniejące zasady zabezpieczeń obecne w szablonie usługi ARM są drukowane w wierszu polecenia i nie są generowane żadne nowe zasady zabezpieczeń.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Po włączeniu wygenerowane zasady zabezpieczeń są drukowane w wierszu polecenia zamiast wstrzykiwać do wejściowego szablonu usługi ARM.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Zapisz zasady danych wyjściowych dla danej ścieżki pliku.
Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.
Wejściowy plik szablonu usługi ARM.
Sprawdź, czy obraz użyty do wygenerowania zasad CCE dla kontenera przyczepki będzie dozwolony przez wygenerowane zasady.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Wejściowy plik YAML na potrzeby generowania zasad węzła wirtualnego.
Definicje kontenerów do uwzględnienia w zasadach.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az confcom katapolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS.
az confcom katapolicygen [--acquire-policy-token]
[--change-reference]
[--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Przykłady
Wprowadzanie pliku YAML kubernetes w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json"Wprowadzanie pliku YAML kubernetes w celu wydrukowania zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do elementu stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyWprowadzanie pliku YAML kubernetes i pliku ustawień niestandardowych w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Wprowadzanie pliku YAML kubernetes i zewnętrznego pliku mapy konfiguracji
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Wprowadzanie pliku YAML kubernetes i pliku reguł niestandardowych
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Wprowadzanie pliku YAML kubernetes z niestandardową ścieżką gniazda kontenera
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Ścieżka do pliku mapy konfiguracji.
Użyj kontenera, aby ściągnąć obraz. Ta opcja jest obsługiwana tylko w systemie Linux.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Ścieżka do gniazda kontenera. Ta opcja jest obsługiwana tylko w systemie Linux.
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Wydrukuj wygenerowane zasady zakodowane w formacie base64 w terminalu.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Wyświetl wersję narzędzi genpolicy.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Ścieżka do pliku reguł niestandardowych.
Ścieżka do pliku ustawień niestandardowych.
Użyj buforowanych plików, aby zaoszczędzić czas obliczeń.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Wejściowy plik Kubernetes YAML.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
