az confcom
Note
此參考是 Azure CLI 的 confcom 擴充功能的一部分(2.26.2 版或更高版本)。 擴充功能會在您第一次執行 az confcom 命令時自動安裝。 深入了解擴充功能。
在 Azure 中產生機密容器安全策略的命令。
命令
| 名稱 | Description | 類型 | 狀態 |
|---|---|---|---|
| az confcom acifragmentgen |
建立 ACI 的機密容器原則片段。 |
Extension | GA |
| az confcom acipolicygen |
建立 ACI 的機密容器安全策略。 |
Extension | GA |
| az confcom fragment |
處理機密容器政策片段的指令。 |
Extension | GA |
| az confcom fragment attach |
將機密容器政策片段附加到 ORAS 登錄檔中的映像檔。 |
Extension | Preview |
| az confcom fragment push |
將機密容器政策片段推送到 ORAS 登錄檔。 |
Extension | Preview |
| az confcom katapolicygen |
建立 AKS 的機密容器安全策略。 |
Extension | GA |
az confcom acifragmentgen
建立 ACI 的機密容器原則片段。
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]範例
輸入影像名稱以產生簡單的片段
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld輸入組態檔以產生已啟用自定義命名空間和偵錯模式的片段
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode產生已簽署本機片段的匯入語句
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1產生片段,並使用金鑰和鏈結簽署它
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print從映像名稱產生片段匯入
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1將片段附加至指定的影像
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>選擇性參數
下列參數是選擇性參數,但視內容而定,命令可能需要一或多個參數才能成功執行。
用於簽署所產生原則片段的演算法。 這必須與 --key 和 --chain 搭配使用。 支持的演算法包括 ['PS256'、'PS384'、'PS512'、'ES256'、'ES384'、'ES512'、'EdDSA']。
| 屬性 | 值 |
|---|---|
| 預設值: | ES384 |
要用來簽署所產生原則片段的 .pem 格式化憑證鏈結檔案路徑。 這必須與 --key 搭配使用。
啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,容器群組中的容器無法存取 stdio。
啟用標準 io 串流以離開容器。
要用於所產生原則片段的摘要。 使用影像附加片段時,這通常與映像名稱相同。 這是將儲存片段的遠端存放庫中的位置。
要與 --generate-import 搭配使用的現有已簽署原則片段檔案的路徑。 此選項可讓您為指定的片段建立匯入陳述式,而不需要從 OCI 登錄明確提取它。 這可以是本機路徑或 OCI 登錄參照。 對於本機片段,檔案將保留在相同的位置。 對於遠端片段,處理後將下載並清理檔案。
JSON 檔案的路徑,該檔案會儲存使用 --generate-import 時產生的片段匯入資訊。 此檔案稍後可饋送至原則產生命令 (acipolicygen),以將片段包含在新的或現有的原則中。 如果未指定,匯入語句將會列印到主控台,而不是儲存至檔案。
產生原則片段的匯入語句。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
要用於所產生原則片段的影像。
附加所產生原則片段的影像目標。
JSON 檔案的路徑,其中包含所產生原則片段的組態。
用來簽署所產生原則片段的 .pem 格式化密鑰檔案路徑。 這必須與 --chain 搭配使用。
與 --generate-import 搭配使用,以指定 import 語句的最小 SVN。
要用於所產生原則片段的命名空間。
請勿將產生的原則片段列印至 stdout。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,產生的原則將不會包含 [標識符] 欄位。 這會讓原則無法系結至特定的映像名稱和標籤。 如果使用的映像將會存在於多個登錄中,並交替使用,這會很有説明。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
只輸出有符號的片段位元組。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
將輸出原則儲存至指定的檔案路徑。
純文本壓縮 JSON 的輸出原則,而不是預設漂亮的列印格式。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
所產生原則片段的最小允許軟體版本號碼。 這應該是單調遞增整數。
包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。
啟用時,產生的原則片段將會上傳至所使用映像的登錄。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
要包含在原則中的容器定義。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸出格式。
| 屬性 | 值 |
|---|---|
| 預設值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
az confcom acipolicygen
建立 ACI 的機密容器安全策略。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]範例
輸入 ARM 範本檔案,以將base64編碼的機密容器安全策略插入ARM範本
az confcom acipolicygen --template-file "./template.json"輸入 ARM 範本檔案,以建立人類可讀取的機密容器安全策略
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print輸入 ARM 範本檔案,將機密容器安全策略儲存至檔案作為base64編碼文字
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy輸入 ARM 範本檔案,並使用 tar 檔案作為映像來源,而不是 Docker 精靈
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"輸入 ARM 範本檔案,並使用片段 JSON 檔案來產生原則
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments選擇性參數
下列參數是選擇性參數,但視內容而定,命令可能需要一或多個參數才能成功執行。
啟用時,會自動核准在環境變數中使用通配符的所有提示。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
結合輸入 ARM 範本檔案 (或產生虛擬節點原則的 YAML 檔案)時,驗證 ARM 範本中存在 「ccePolicy」 下的原則,且檔案內的容器相容。 如果兩者不相容,則會提供原因清單,而結束狀態代碼會是 2。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,容器群組中的容器無法存取 stdio。
啟用標準 io 串流以離開容器。
啟用時,產生的原則中不會包含預設片段。 這包括掛接 Azure 檔案、掛接秘密、掛接 git 存放庫和其他常見 ACI 功能所需的容器。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,用來產生原則的哈希演算法更快,但記憶體效率較低。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
JSON 檔案的路徑,其中包含用來產生原則的片段資訊。 這需要啟用 --include-fragments。
輸入影像名稱。
啟用時,--fragments-json 指定的路徑將用來從 OCI 登錄或本機提取片段,並將其包含在產生的原則中。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
基礎結構片段的最低允許軟體版本號碼。
輸入 JSON 組態檔。
啟用時,產生的原則將不會包含 [標識符] 欄位。 這會讓原則無法系結至特定的映像名稱和標籤。 如果使用的映像將會存在於多個登錄中,並交替使用,這會很有説明。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
純文本和漂亮的列印格式輸出原則。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸入參數檔案,以選擇性地隨附 ARM 範本。
啟用時,ARM 範本中現有的安全策略會列印到命令行,而且不會產生任何新的安全策略。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
啟用時,產生的安全策略會列印至命令行,而不是插入輸入ARM範本。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
將輸出原則儲存至指定的檔案路徑。
包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。
輸入 ARM 範本檔案。
驗證用來產生側車容器 CCE 原則的映像,將由其產生的原則所允許。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸入 YAML 檔案以進行虛擬節點原則產生。
要包含在原則中的容器定義。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸出格式。
| 屬性 | 值 |
|---|---|
| 預設值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
az confcom katapolicygen
建立 AKS 的機密容器安全策略。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]範例
輸入 Kubernetes YAML 檔案,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json"輸入 Kubernetes YAML 檔案,將base64編碼的機密容器安全策略列印至 stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy輸入 Kubernetes YAML 檔案和自訂配置檔,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"輸入 Kubernetes YAML 檔案和外部組態對應檔案
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"輸入 Kubernetes YAML 檔案和自定義規則檔案
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"使用自定義容器套接字路徑輸入 Kubernetes YAML 檔案
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"選擇性參數
下列參數是選擇性參數,但視內容而定,命令可能需要一或多個參數才能成功執行。
組態對應檔案的路徑。
使用容器來提取映像。 只有在Linux上才支援此選項。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
容器套接字的路徑。 只有在Linux上才支援此選項。
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
在終端機中列印base64編碼產生的原則。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
列印 Genpolicy 工具的版本。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
自訂規則檔案的路徑。
自訂配置檔的路徑。
使用快取的檔案節省計算時間。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸入 YAML Kubernetes 檔案。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
輸出格式。
| 屬性 | 值 |
|---|---|
| 預設值: | json |
| 接受的值: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
| 屬性 | 值 |
|---|---|
| 預設值: | False |
