Compartilhar via


az confcom

Observação

Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.

Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.

Comandos

Nome Description Tipo Status
az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

Extensão GA
az confcom katapolicygen

Crie uma política de segurança de contêiner confidencial para o AKS.

Extensão GA

az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--faster-hashing]
                        [--image]
                        [--infrastructure-svn]
                        [--input]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]

Exemplos

Insira um arquivo de modelo do ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo do ARM

az confcom acipolicygen --template-file "./template.json"

Insira um arquivo de modelo do ARM para criar uma política de segurança de contêiner confidencial legível

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Insira um arquivo de modelo do ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Insira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Parâmetros Opcionais

--approve-wildcards -y

Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.

Valor padrão: False
--debug-mode

Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.

Valor padrão: False
--diff -d

Quando combinado com um modelo do ARM de entrada, verifica se a política presente no modelo do ARM em "ccePolicy" e se os contêineres dentro do modelo do ARM são compatíveis. Se forem incompatíveis, é fornecida uma lista de motivos e o código de estado de saída será 2.

Valor padrão: False
--disable-stdio

Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.

Valor padrão: False
--faster-hashing

Quando habilitado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.

Valor padrão: False
--image

Nome da imagem de entrada.

--infrastructure-svn

Número mínimo permitido da versão do software para o fragmento de infraestrutura.

--input -i

Insira o arquivo de configuração JSON.

--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Valor padrão: False
--outraw-pretty-print

Política de saída em texto claro e formato de impressão bonito.

Valor padrão: False
--parameters -p

Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo do ARM.

--print-existing-policy

Quando habilitado, a política de segurança existente que está presente no Modelo do ARM é impressa na linha de comando e nenhuma nova política de segurança é gerada.

Valor padrão: False
--print-policy

Quando habilitada, a política de segurança gerada é impressa na linha de comando em vez de injetada no modelo do ARM de entrada.

Valor padrão: False
--save-to-file -s

Salve a política de saída no caminho do arquivo fornecido.

--tar

Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.

--template-file -a

Insira o arquivo de modelo do ARM.

--validate-sidecar -v

Valide se a imagem usada para gerar a política CCE para um contêiner sidecar será permitida por sua política gerada.

Valor padrão: False
Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az confcom katapolicygen

Crie uma política de segurança de contêiner confidencial para o AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Exemplos

Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json"

Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Insira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Inserir um arquivo YAML do Kubernetes com um caminho de soquete containerd personalizado

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parâmetros Opcionais

--config-map-file -c

Caminho para o arquivo de mapa de configuração.

--containerd-pull -d

Use containerd para extrair a imagem. Esta opção só é suportada no Linux.

Valor padrão: False
--containerd-socket-path

Caminho para o soquete containerd. Esta opção só é suportada no Linux.

--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Valor padrão: False
--print-policy

Imprima a política gerada codificada em base64 no terminal.

Valor padrão: False
--print-version -v

Imprima a versão das ferramentas genpolicy.

Valor padrão: False
--rules-file-name -p

Caminho para o arquivo de regras personalizadas.

--settings-file-name -j

Caminho para o arquivo de configurações personalizadas.

--use-cached-files -u

Use arquivos em cache para economizar tempo de computação.

Valor padrão: False
--yaml -y

Insira o arquivo YAML do Kubernetes.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.