Condividi tramite

az confcom

  • Riferimento

Nota

Questo riferimento fa parte dell'estensione confcom per l'interfaccia della riga di comando di Azure (versione 2.26.2 o successiva). L'estensione installerà automaticamente la prima volta che si esegue un comando az confcom . Altre informazioni sulle estensioni.

Comandi per generare criteri di sicurezza per i contenitori riservati in Azure.

Comandi

Nome Descrizione Tipo Status
az confcom acifragmentgen

Creare un frammento di criteri contenitore riservato per ACI.

 Estensione Disponibilità generale
az confcom acipolicygen

Creare criteri di sicurezza per contenitori riservati per ACI.

 Estensione Disponibilità generale
az confcom katapolicygen

Creare criteri di sicurezza del contenitore riservato per il servizio Azure Kubernetes.

 Estensione Disponibilità generale

az confcom acifragmentgen

Creare un frammento di criteri contenitore riservato per ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Esempio

Immettere un nome di immagine per generare un frammento semplice

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Immettere un file di configurazione per generare un frammento con uno spazio dei nomi personalizzato e la modalità di debug abilitata

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Generare un'istruzione import per un frammento locale firmato

az confcom acifragmentgen --fragment-path "./fragment.json" --generate-import --minimum-svn 1

Generare un frammento e firmare COSE con una chiave e una catena

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Parametri facoltativi

--algo

Algoritmo usato per firmare il frammento di criteri generato. Deve essere usato con --key e --chain. Gli algoritmi supportati sono ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Valore predefinito: ES384
--chain

Percorso del file della catena di certificati con formattazione pem da usare per firmare il frammento di criteri generato. Deve essere usato con --key.

--debug-mode

Se abilitata, i criteri di sicurezza generati aggiungono la possibilità di usare /bin/sh o /bin/bash per eseguire il debug del contenitore. Abilita anche l'accesso stdio, la possibilità di eseguire il dump delle tracce dello stack e abilita la registrazione in fase di esecuzione. È consigliabile usare questa opzione solo a scopo di debug.

Valore predefinito: False
--disable-stdio

Se abilitata, i contenitori nel gruppo di contenitori non hanno accesso a stdio.

Valore predefinito: False
--feed -f

Feed da usare per il frammento di criteri generato. Si tratta in genere dello stesso nome dell'immagine quando si usano frammenti collegati all'immagine. Si tratta del percorso nel repository remoto in cui verrà archiviato il frammento.

--fragment-path -p

Percorso di un file di frammento di criteri esistente da usare con --generate-import. Questa opzione consente di creare istruzioni di importazione per il frammento specificato senza che sia necessario eseguirne il pull da un registro OCI.

--fragments-json -j

Percorso di un file JSON che archivierà le informazioni di importazione del frammento generate quando si usa --generate-import. Questo file può essere inserito in un secondo momento nel comando di generazione dei criteri (acipolicygen) per includere il frammento in un criterio nuovo o esistente. Se non specificato, l'istruzione import verrà stampata nella console anziché essere salvata in un file.

--generate-import -g

Generare un'istruzione import per un frammento di criteri.

Valore predefinito: False
--image

Immagine da usare per il frammento di criteri generato.

--input -i

Percorso di un file JSON contenente la configurazione per il frammento di criteri generato.

--key -k

Percorso del file di chiave formattato con estensione pem da usare per firmare il frammento di criteri generato. Questa operazione deve essere usata con --chain.

--minimum-svn

Usato con --generate-import per specificare il valore SVN minimo per l'istruzione import.

--namespace -n

Spazio dei nomi da usare per il frammento di criteri generato.

--no-print

Non stampare il frammento di criteri generato in stdout.

Valore predefinito: False
--output-filename

Salvare i criteri di output in un percorso file specificato.

--outraw

Criteri di output in formato JSON non crittografato compatto invece del formato di stampa predefinito.

Valore predefinito: False
--svn

Numero di versione software minimo consentito per il frammento di criteri generato. Deve trattarsi di un numero intero che aumenta in modo monotonico.

--tar

Percorso di un tarball contenente i livelli immagine o di un file JSON contenente percorsi a tarball di livelli di immagine.

--upload-fragment -u

Se abilitata, il frammento di criteri generato verrà caricato nel Registro di sistema dell'immagine in uso.

Valore predefinito: False
Parametri globali
--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
Valore predefinito: json
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az confcom acipolicygen

Creare criteri di sicurezza per contenitori riservati per ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Esempio

Immettere un file modello di Resource Manager per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel modello di Resource Manager

az confcom acipolicygen --template-file "./template.json"

Immettere un file modello di Resource Manager per creare criteri di sicurezza dei contenitori riservati leggibili

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Immettere un file modello di Resource Manager per salvare un criterio di sicurezza del contenitore riservato in un file come testo con codifica Base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Immettere un file modello di Resource Manager e usare un file tar come origine dell'immagine invece del daemon Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Immettere un file modello di Resource Manager e usare un file JSON di frammenti per generare un criterio

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Parametri facoltativi

--approve-wildcards -y

Se abilitata, tutte le richieste di utilizzo dei caratteri jolly nelle variabili di ambiente vengono approvate automaticamente.

Valore predefinito: False
--debug-mode

Se abilitata, i criteri di sicurezza generati aggiungono la possibilità di usare /bin/sh o /bin/bash per eseguire il debug del contenitore. Abilita anche l'accesso stdio, la possibilità di eseguire il dump delle tracce dello stack e abilita la registrazione in fase di esecuzione. È consigliabile usare questa opzione solo a scopo di debug.

Valore predefinito: False
--diff -d

Se combinato con un file modello arm di input (o file YAML per la generazione dei criteri del nodo virtuale), verifica che i criteri presenti nel modello di Resource Manager in "ccePolicy" e i contenitori all'interno del file siano compatibili. Se sono incompatibili, viene fornito un elenco di motivi e il codice di stato di uscita sarà 2.

Valore predefinito: False
--disable-stdio

Se abilitata, i contenitori nel gruppo di contenitori non hanno accesso a stdio.

Valore predefinito: False
--exclude-default-fragments -e

Se abilitata, i frammenti predefiniti non vengono inclusi nei criteri generati. Sono inclusi i contenitori necessari per montare file di Azure, montare segreti, montare repository Git e altre funzionalità comuni di ACI.

Valore predefinito: False
--faster-hashing

Se abilitata, l'algoritmo hash usato per generare i criteri è più veloce ma meno efficiente per la memoria.

Valore predefinito: False
--fragments-json -j

Percorso del file JSON contenente informazioni sui frammenti da usare per la generazione di un criterio. Ciò richiede l'abilitazione di --include-fragments.

--image

Nome dell'immagine di input.

--include-fragments -f

Se abilitata, il percorso specificato da --fragments-json verrà usato per eseguire il pull dei frammenti da un registro OCI o in locale e includerli nei criteri generati.

Valore predefinito: False
--infrastructure-svn

Numero di versione software minimo consentito per il frammento di infrastruttura.

--input -i

File di configurazione JSON di input.

--omit-id

Se abilitata, il criterio generato non conterrà il campo ID. In questo modo i criteri non verranno associati a un nome e un tag di immagine specifici.

Valore predefinito: False
--outraw

Criteri di output in formato JSON non crittografato compatto invece del formato base64 predefinito.

Valore predefinito: False
--outraw-pretty-print

Criterio di output in testo non crittografato e formato di stampa abbastanza.

Valore predefinito: False
--parameters -p

File di parametri di input per accompagnare facoltativamente un modello di Resource Manager.

--print-existing-policy

Se abilitata, i criteri di sicurezza esistenti presenti nel modello di Resource Manager vengono stampati nella riga di comando e non viene generato alcun nuovo criterio di sicurezza.

Valore predefinito: False
--print-policy

Se abilitata, i criteri di sicurezza generati vengono stampati nella riga di comando anziché inseriti nel modello di Resource Manager di input.

Valore predefinito: False
--save-to-file -s

Salvare i criteri di output in un percorso file specificato.

--tar

Percorso di un tarball contenente i livelli immagine o di un file JSON contenente percorsi a tarball di livelli di immagine.

--template-file -a

File modello arm di input.

--validate-sidecar -v

Verificare che l'immagine usata per generare i criteri CCE per un contenitore sidecar sia consentita dai criteri generati.

Valore predefinito: False
--virtual-node-yaml

File YAML di input per la generazione dei criteri dei nodi virtuali.

Parametri globali
--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
Valore predefinito: json
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az confcom katapolicygen

Creare criteri di sicurezza del contenitore riservato per il servizio Azure Kubernetes.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Esempio

Immettere un file YAML kubernetes per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel file YAML

az confcom katapolicygen --yaml "./pod.json"

Immettere un file YAML kubernetes per stampare un criterio di sicurezza del contenitore riservato con codifica Base64 in stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Immettere un file YAML Kubernetes e un file di impostazioni personalizzate per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel file YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Immettere un file YAML Kubernetes e un file di mapping di configurazione esterno

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Immettere un file YAML Kubernetes e un file di regole personalizzate

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Immettere un file YAML Kubernetes con un percorso socket in contenitori personalizzato

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parametri facoltativi

--config-map-file -c

Percorso del file di mapping di configurazione.

--containerd-pull -d

Usare containerd per eseguire il pull dell'immagine. Questa opzione è supportata solo in Linux.

Valore predefinito: False
--containerd-socket-path

Percorso del socket in contenitori. Questa opzione è supportata solo in Linux.

--outraw

Criteri di output in formato JSON non crittografato compatto invece del formato base64 predefinito.

Valore predefinito: False
--print-policy

Stampare i criteri generati con codifica Base64 nel terminale.

Valore predefinito: False
--print-version -v

Stampare la versione degli strumenti di genpolicy.

Valore predefinito: False
--rules-file-name -p

Percorso del file di regole personalizzate.

--settings-file-name -j

Percorso del file di impostazioni personalizzate.

--use-cached-files -u

Usare i file memorizzati nella cache per risparmiare tempo di calcolo.

Valore predefinito: False
--yaml -y

Input del file Kubernetes YAML.

Parametri globali
--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
Valore predefinito: json
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.