az confcom
Observação
Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.
Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.
Comandos
| Nome | Description | Tipo | Status |
|---|---|---|---|
| az confcom acipolicygen |
Crie uma política de segurança de contêiner confidencial para ACI. |
Extensão | GA |
| az confcom katapolicygen |
Crie uma política de segurança de contêiner confidencial para o AKS. |
Extensão | GA |
az confcom acipolicygen
Crie uma política de segurança de contêiner confidencial para ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Exemplos
Insira um arquivo de modelo do ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo do ARM
az confcom acipolicygen --template-file "./template.json"Insira um arquivo de modelo do ARM para criar uma política de segurança de contêiner confidencial legível
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printInsira um arquivo de modelo do ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyInsira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Parâmetros Opcionais
Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.
Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.
Quando combinado com um modelo do ARM de entrada, verifica se a política presente no modelo do ARM em "ccePolicy" e se os contêineres dentro do modelo do ARM são compatíveis. Se forem incompatíveis, é fornecida uma lista de motivos e o código de estado de saída será 2.
Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.
Quando habilitado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.
Nome da imagem de entrada.
Número mínimo permitido da versão do software para o fragmento de infraestrutura.
Insira o arquivo de configuração JSON.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Política de saída em texto claro e formato de impressão bonito.
Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo do ARM.
Quando habilitado, a política de segurança existente que está presente no Modelo do ARM é impressa na linha de comando e nenhuma nova política de segurança é gerada.
Quando habilitada, a política de segurança gerada é impressa na linha de comando em vez de injetada no modelo do ARM de entrada.
Salve a política de saída no caminho do arquivo fornecido.
Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.
Insira o arquivo de modelo do ARM.
Valide se a imagem usada para gerar a política CCE para um contêiner sidecar será permitida por sua política gerada.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az confcom katapolicygen
Crie uma política de segurança de contêiner confidencial para o AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Exemplos
Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json"Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyInsira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Inserir um arquivo YAML do Kubernetes com um caminho de soquete containerd personalizado
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parâmetros Opcionais
Caminho para o arquivo de mapa de configuração.
Use containerd para extrair a imagem. Esta opção só é suportada no Linux.
Caminho para o soquete containerd. Esta opção só é suportada no Linux.
Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.
Imprima a política gerada codificada em base64 no terminal.
Imprima a versão das ferramentas genpolicy.
Caminho para o arquivo de regras personalizadas.
Caminho para o arquivo de configurações personalizadas.
Use arquivos em cache para economizar tempo de computação.
Insira o arquivo YAML do Kubernetes.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
