az confcom
Uwaga
Ta dokumentacja jest częścią rozszerzenia confcom dla interfejsu wiersza polecenia platformy Azure (wersja 2.26.2 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az confcom . Dowiedz się więcej o rozszerzeniach.
Polecenia służące do generowania zasad zabezpieczeń dla kontenerów poufnych na platformie Azure.
Polecenia
| Nazwa | Opis | Typ | Stan |
|---|---|---|---|
| az confcom acipolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI. |
Numer wewnętrzny | Ogólna dostępność |
| az confcom katapolicygen |
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS. |
Numer wewnętrzny | Ogólna dostępność |
az confcom acipolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Przykłady
Wprowadzanie pliku szablonu usługi ARM w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do szablonu usługi ARM
az confcom acipolicygen --template-file "./template.json"Wprowadzanie pliku szablonu usługi ARM w celu utworzenia czytelnych dla człowieka poufnych zasad zabezpieczeń kontenera
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printWprowadzanie pliku szablonu usługi ARM w celu zapisania poufnych zasad zabezpieczeń kontenera w pliku jako tekstu zakodowanego w formacie base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyWprowadzanie pliku szablonu usługi ARM i używanie pliku tar jako źródła obrazu zamiast demona platformy Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Parametry opcjonalne
Po włączeniu wszystkie monity dotyczące używania symboli wieloznacznych w zmiennych środowiskowych są automatycznie zatwierdzane.
Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.
W połączeniu z wejściowym szablonem usługi ARM sprawdza, czy zasady obecne w szablonie usługi ARM w obszarze "ccePolicy" i kontenery w szablonie usługi ARM są zgodne. Jeśli są one niezgodne, zostanie podana lista przyczyn, a kod stanu zakończenia będzie wynosić 2.
Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.
Po włączeniu algorytm tworzenia skrótów używany do generowania zasad jest szybszy, ale mniej wydajny w pamięci.
Nazwa obrazu wejściowego.
Minimalny dozwolony numer wersji oprogramowania dla fragmentu infrastruktury.
Wejściowy plik konfiguracji JSON.
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
Zasady danych wyjściowych w formacie zwykłego tekstu i dość wydruku.
Plik parametrów wejściowych, który opcjonalnie towarzyszy szablonowi usługi ARM.
Po włączeniu istniejące zasady zabezpieczeń obecne w szablonie usługi ARM są drukowane w wierszu polecenia i nie są generowane żadne nowe zasady zabezpieczeń.
Po włączeniu wygenerowane zasady zabezpieczeń są drukowane w wierszu polecenia zamiast wstrzykiwać do wejściowego szablonu usługi ARM.
Zapisz zasady danych wyjściowych dla danej ścieżki pliku.
Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.
Wejściowy plik szablonu usługi ARM.
Sprawdź, czy obraz użyty do wygenerowania zasad CCE dla kontenera przyczepki będzie dozwolony przez wygenerowane zasady.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
az confcom katapolicygen
Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Przykłady
Wprowadzanie pliku YAML kubernetes w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json"Wprowadzanie pliku YAML kubernetes w celu wydrukowania zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do elementu stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyWprowadzanie pliku YAML kubernetes i pliku ustawień niestandardowych w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Wprowadzanie pliku YAML kubernetes i zewnętrznego pliku mapy konfiguracji
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Wprowadzanie pliku YAML kubernetes i pliku reguł niestandardowych
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Wprowadzanie pliku YAML kubernetes z niestandardową ścieżką gniazda kontenera
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parametry opcjonalne
Ścieżka do pliku mapy konfiguracji.
Użyj kontenera, aby ściągnąć obraz. Ta opcja jest obsługiwana tylko w systemie Linux.
Ścieżka do gniazda kontenera. Ta opcja jest obsługiwana tylko w systemie Linux.
Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.
Wydrukuj wygenerowane zasady zakodowane w formacie base64 w terminalu.
Wyświetl wersję narzędzi genpolicy.
Ścieżka do pliku reguł niestandardowych.
Ścieżka do pliku ustawień niestandardowych.
Użyj buforowanych plików, aby zaoszczędzić czas obliczeń.
Wejściowy plik Kubernetes YAML.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
Format danych wyjściowych.
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
