az confcom
Note
このリファレンスは、Azure CLI (バージョン 2.26.2 以降) の confcom 拡張機能の一部です。 拡張機能は、 az confcom コマンドを初めて実行するときに自動的にインストールされます。 拡張機能の詳細を参照してください。
Azure で機密コンテナーのセキュリティ ポリシーを生成するコマンド。
コマンド
| 名前 | 説明 | 型 | 状態 |
|---|---|---|---|
| az confcom acifragmentgen |
ACI 用の機密コンテナー ポリシー フラグメントを作成します。 |
拡張子 | GA |
| az confcom acipolicygen |
ACI の機密コンテナー セキュリティ ポリシーを作成します。 |
拡張子 | GA |
| az confcom katapolicygen |
AKS 用の機密コンテナー セキュリティ ポリシーを作成します。 |
拡張子 | GA |
az confcom acifragmentgen
ACI 用の機密コンテナー ポリシー フラグメントを作成します。
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]例
画像名を入力して単純なフラグメントを生成する
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldカスタム名前空間とデバッグ モードが有効になっているフラグメントを生成する構成ファイルを入力する
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode署名されたローカル フラグメントの import ステートメントを生成する
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1フラグメントを生成し、キーとチェーンを使用して COSE で署名する
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printイメージ名からフラグメント インポートを生成する
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1指定したイメージにフラグメントをアタッチする
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>省略可能のパラメーター
生成されたポリシー フラグメントの署名に使用されるアルゴリズム。 これは、--key と --chain と共に使用する必要があります。 サポートされているアルゴリズムは['PS256'、'PS384'、'PS512'、'ES256'、'ES384'、'ES512'、'EdDSA'です。
生成されたポリシー フラグメントの署名に使用する .pem 形式の証明書チェーン ファイルへのパス。 これは --key と共に使用する必要があります。
有効にすると、生成されたセキュリティ ポリシーによって、/bin/sh または /bin/bash を使用してコンテナーをデバッグする機能が追加されます。 また、stdio アクセス、スタック トレースをダンプする機能も有効になり、ランタイム ログが有効になります。 デバッグ目的でのみこのオプションを使用することをお勧めします。
有効にすると、コンテナー グループ内のコンテナーは stdio にアクセスできません。
生成されたポリシー フラグメントに使用するフィード。 これは通常、イメージ添付フラグメントを使用する場合のイメージ名と同じです。 これは、フラグメントが格納されるリモート リポジトリ内の場所です。
--generate-import で使用する既存のポリシー フラグメント ファイルへのパス。 このオプションを使用すると、OCI レジストリからプルしなくても、指定されたフラグメントの import ステートメントを作成できます。
--generate-import を使用するときに生成されたフラグメント インポート情報を格納する JSON ファイルへのパス。 このファイルは、後でポリシー生成コマンド (acipolicygen) にフィードして、新規または既存のポリシーにフラグメントを含めることができます。 指定しない場合、import ステートメントは、ファイルに保存されるのではなく、コンソールに出力されます。
ポリシー フラグメントの import ステートメントを生成します。
生成されたポリシー フラグメントに使用するイメージ。
生成されたポリシー フラグメントがアタッチされているイメージ ターゲット。
生成されたポリシー フラグメントの構成を含む JSON ファイルへのパス。
生成されたポリシー フラグメントの署名に使用する .pem 形式のキー ファイルへのパス。 これは --chain と共に使用する必要があります。
--generate-import と共に使用して、import ステートメントの最小 SVN を指定します。
生成されたポリシー フラグメントに使用する名前空間。
生成されたポリシー フラグメントを stdout に出力しないでください。
有効にすると、生成されたポリシーに ID フィールドは含まれません。 これにより、ポリシーが特定のイメージ名とタグに関連付けられなくなります。 これは、使用されているイメージが複数のレジストリに存在し、同じ意味で使用される場合に役立ちます。
出力ポリシーを特定のファイル パスに保存します。
既定の美しい印刷形式ではなく、クリア テキストのコンパクトな JSON の出力ポリシー。
生成されたポリシー フラグメントの最小許容ソフトウェア バージョン番号。 これは単調に増加する整数である必要があります。
イメージ レイヤーを含む tarball へのパス、またはイメージ レイヤーの tarball へのパスを含む JSON ファイルへのパス。
有効にすると、生成されたポリシー フラグメントが、使用されているイメージのレジストリにアップロードされます。
グローバル パラメーター
すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告は抑制します。
出力形式。
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。
ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。
az confcom acipolicygen
ACI の機密コンテナー セキュリティ ポリシーを作成します。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]例
ARM テンプレート ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを ARM テンプレートに挿入する
az confcom acipolicygen --template-file "./template.json"ARM テンプレート ファイルを入力して、人間が判読できる機密コンテナー セキュリティ ポリシーを作成する
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print秘密コンテナー セキュリティ ポリシーを base64 でエンコードされたテキストとしてファイルに保存する ARM テンプレート ファイルを入力する
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyARM テンプレート ファイルを入力し、Docker デーモンの代わりにイメージ ソースとして tar ファイルを使用する
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"ARM テンプレート ファイルを入力し、フラグメント JSON ファイルを使用してポリシーを生成する
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments省略可能のパラメーター
有効にすると、環境変数でワイルドカードを使用するためのすべてのプロンプトが自動的に承認されます。
有効にすると、生成されたセキュリティ ポリシーによって、/bin/sh または /bin/bash を使用してコンテナーをデバッグする機能が追加されます。 また、stdio アクセス、スタック トレースをダンプする機能も有効になり、ランタイム ログが有効になります。 デバッグ目的でのみこのオプションを使用することをお勧めします。
入力 ARM テンプレート ファイル (または仮想ノード ポリシー生成用の YAML ファイル) と組み合わせると、ARM テンプレートの "ccePolicy" の下に存在するポリシーが検証され、ファイル内のコンテナーに互換性があります。 互換性がない場合は、理由の一覧が表示され、終了状態コードは 2 になります。
有効にすると、コンテナー グループ内のコンテナーは stdio にアクセスできません。
有効にすると、生成されたポリシーに既定のフラグメントは含まれません。 これには、Azure ファイルのマウント、シークレットのマウント、Git リポジトリのマウント、およびその他の一般的な ACI 機能に必要なコンテナーが含まれます。
有効にすると、ポリシーの生成に使用されるハッシュ アルゴリズムは高速ですが、メモリ効率は低下します。
ポリシーの生成に使用するフラグメント情報を含む JSON ファイルへのパス。 これには、--include-fragments を有効にする必要があります。
入力イメージ名。
有効にすると、--fragments-json で指定されたパスを使用して、OCI レジストリまたはローカルからフラグメントをプルし、生成されたポリシーに含めます。
インフラストラクチャ フラグメントで許可される最小ソフトウェア バージョン番号。
JSON 構成ファイルを入力します。
有効にすると、生成されたポリシーに ID フィールドは含まれません。 これにより、ポリシーが特定のイメージ名とタグに関連付けられなくなります。 これは、使用されているイメージが複数のレジストリに存在し、同じ意味で使用される場合に役立ちます。
既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。
クリア テキストと美しい印刷形式の出力ポリシー。
オプションで ARM テンプレートに付随する入力パラメーター ファイル。
有効にすると、ARM テンプレートに存在する既存のセキュリティ ポリシーがコマンド ラインに出力され、新しいセキュリティ ポリシーは生成されません。
有効にすると、生成されたセキュリティ ポリシーは、入力 ARM テンプレートに挿入されるのではなく、コマンド ラインに出力されます。
出力ポリシーを特定のファイル パスに保存します。
イメージ レイヤーを含む tarball へのパス、またはイメージ レイヤーの tarball へのパスを含む JSON ファイルへのパス。
ARM テンプレート ファイルを入力します。
サイドカー コンテナーの CCE ポリシーの生成に使用されるイメージが、生成されたポリシーによって許可されることを検証します。
仮想ノード ポリシー生成用の入力 YAML ファイル。
グローバル パラメーター
すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告は抑制します。
出力形式。
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。
ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。
az confcom katapolicygen
AKS 用の機密コンテナー セキュリティ ポリシーを作成します。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]例
Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入する
az confcom katapolicygen --yaml "./pod.json"Kubernetes YAML ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを stdout に出力します
az confcom katapolicygen --yaml "./pod.json" --print-policyKubernetes YAML ファイルとカスタム設定ファイルを入力して、base64 でエンコードされた機密コンテナー セキュリティ ポリシーを YAML ファイルに挿入します
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Kubernetes YAML ファイルと外部構成マップ ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Kubernetes YAML ファイルとカスタム ルール ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"カスタム コンテナー ソケット パスを使用して Kubernetes YAML ファイルを入力する
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"省略可能のパラメーター
構成マップ ファイルへのパス。
コンテナー化を使用してイメージをプルします。 このオプションは Linux でのみサポートされています。
コンテナー化されたソケットへのパス。 このオプションは Linux でのみサポートされています。
既定の base64 形式ではなく、クリア テキストのコンパクト JSON の出力ポリシー。
base64 でエンコードされた生成されたポリシーをターミナルに出力します。
genpolicy ツールのバージョンを印刷します。
カスタム ルール ファイルへのパス。
カスタム設定ファイルへのパス。
キャッシュされたファイルを使用して、計算時間を節約します。
YAML Kubernetes ファイルを入力します。
グローバル パラメーター
すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。
このヘルプ メッセージを表示して終了します。
エラーのみを表示し、警告は抑制します。
出力形式。
JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。
サブスクリプションの名前または ID。
az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。
ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。
Azure CLI