Compartilhar via

az confcom

  • Referência

Observação

Essa referência faz parte da extensão confcom para a CLI do Azure (versão 2.26.2 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az confcom . Saiba mais sobre extensões.

Comandos para gerar políticas de segurança para contêineres confidenciais no Azure.

Comandos

Nome Description Tipo Status
az confcom acifragmentgen

Crie um fragmento de política de contêiner confidencial para a ACI.

 Extensão GA
az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

 Extensão GA
az confcom katapolicygen

Crie uma política de segurança de contêiner confidencial para o AKS.

 Extensão GA

az confcom acifragmentgen

Crie um fragmento de política de contêiner confidencial para a ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Exemplos

Inserir um nome de imagem para gerar um fragmento simples

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Insira um arquivo de configuração para gerar um fragmento com um namespace personalizado e o modo de depuração habilitados

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Gerar uma instrução de importação para um fragmento local assinado

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Gerar um fragmento e assinar o COSE com uma chave e uma cadeia

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Gerar uma importação de fragmento de um nome de imagem

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Anexar um fragmento a uma imagem especificada

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Parâmetros Opcionais

--algo

Algoritmo usado para assinar o fragmento de política gerado. Isso deve ser usado com --key e --chain. Os algoritmos com suporte são ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Valor padrão: ES384
--chain

Caminho para o arquivo de cadeia de certificados formatado .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --key.

--debug-mode

Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.

Valor padrão: False
--disable-stdio

Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.

Valor padrão: False
--feed -f

Feed a ser usado para o fragmento de política gerado. Normalmente, isso é o mesmo que o nome da imagem ao usar fragmentos anexados à imagem. É o local no repositório remoto onde o fragmento será armazenado.

--fragment-path -p

Caminho para um arquivo de fragmento de política existente a ser usado com --generate-import. Essa opção permite que você crie instruções de importação para o fragmento especificado sem a necessidade de retirá-lo de um registro OCI.

--fragments-json -j

Caminho para um arquivo JSON que armazenará as informações de importação de fragmento geradas ao usar --generate-import. Posteriormente, esse arquivo pode ser alimentado no comando de geração de política (acipolicygen) para incluir o fragmento em uma política nova ou existente. Se não for especificado, a instrução de importação será impressa no console em vez de ser salva em um arquivo.

--generate-import -g

Gere uma instrução de importação para um fragmento de política.

Valor padrão: False
--image

Imagem a ser usada para o fragmento de política gerado.

--image-target

Destino de imagem em que o fragmento de política gerado está anexado.

--input -i

Caminho para um arquivo JSON que contém a configuração do fragmento de política gerado.

--key -k

Caminho para o arquivo de chave formatado .pem a ser usado para assinar o fragmento de política gerado. Isso deve ser usado com --chain.

--minimum-svn

Usado com --generate-import para especificar o SVN mínimo para a instrução de importação.

--namespace -n

Namespace a ser usado para o fragmento de política gerado.

--no-print

Não imprima o fragmento de política gerado para stdout.

Valor padrão: False
--omit-id

Quando habilitada, a política gerada não conterá o campo ID. Isso impedirá que a política seja vinculada a um nome e uma marca de imagem específicos. Isso será útil se a imagem que está sendo usada estiver presente em vários registros e usada de forma intercambiável.

Valor padrão: False
--output-filename

Salve a política de saída no caminho do arquivo fornecido.

--outraw

Política de saída em JSON compacto de texto claro em vez de formato de impressão bastante padrão.

Valor padrão: False
--svn

Número mínimo de versão de software permitido para o fragmento de política gerado. Esse deve ser um inteiro monotonicamente crescente.

--tar

Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.

--upload-fragment -u

Quando habilitado, o fragmento de política gerado será carregado no registro da imagem que está sendo usada.

Valor padrão: False
Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az confcom acipolicygen

Crie uma política de segurança de contêiner confidencial para ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Exemplos

Insira um arquivo de modelo do ARM para injetar uma política de segurança de contêiner confidencial codificada em base64 no modelo do ARM

az confcom acipolicygen --template-file "./template.json"

Insira um arquivo de modelo do ARM para criar uma política de segurança de contêiner confidencial legível

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Insira um arquivo de modelo do ARM para salvar uma política de segurança de contêiner confidencial em um arquivo como texto codificado em base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Insira um arquivo de modelo ARM e use um arquivo tar como fonte de imagem em vez do daemon do Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Insira um arquivo arm template e use um arquivo JSON de fragmentos para gerar uma política

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Parâmetros Opcionais

--approve-wildcards -y

Quando habilitado, todos os prompts para usar curingas em variáveis de ambiente são aprovados automaticamente.

Valor padrão: False
--debug-mode

Quando habilitada, a política de segurança gerada adiciona a capacidade de usar /bin/sh ou /bin/bash para depurar o contêiner. Ele também habilitou o acesso stdio, a capacidade de despejar rastreamentos de pilha e habilita o registro em tempo de execução. É recomendável usar essa opção apenas para fins de depuração.

Valor padrão: False
--diff -d

Quando combinado com um arquivo de modelo arm de entrada (ou arquivo YAML para geração de política de nó virtual), verifica se a política presente no Modelo do ARM em "ccePolicy" e os contêineres dentro do arquivo são compatíveis. Se forem incompatíveis, é fornecida uma lista de motivos e o código de estado de saída será 2.

Valor padrão: False
--disable-stdio

Quando habilitado, os contêineres no grupo de contêineres não têm acesso ao stdio.

Valor padrão: False
--exclude-default-fragments -e

Quando habilitados, os fragmentos padrão não são incluídos na política gerada. Isso inclui contêineres necessários para montar arquivos do azure, montar segredos, montar repositórios git e outros recursos comuns da ACI.

Valor padrão: False
--faster-hashing

Quando habilitado, o algoritmo de hash usado para gerar a política é mais rápido, mas menos eficiente em termos de memória.

Valor padrão: False
--fragments-json -j

Caminho para o arquivo JSON que contém informações de fragmento a serem usadas para gerar uma política. Isso requer que --include-fragments seja habilitado.

--image

Nome da imagem de entrada.

--include-fragments -f

Quando habilitado, o caminho especificado por --fragments-json será usado para extrair fragmentos de um registro OCI ou localmente e incluí-los na política gerada.

Valor padrão: False
--infrastructure-svn

Número mínimo permitido da versão do software para o fragmento de infraestrutura.

--input -i

Insira o arquivo de configuração JSON.

--omit-id

Quando habilitada, a política gerada não conterá o campo ID. Isso impedirá que a política seja vinculada a um nome e uma marca de imagem específicos. Isso será útil se a imagem que está sendo usada estiver presente em vários registros e usada de forma intercambiável.

Valor padrão: False
--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Valor padrão: False
--outraw-pretty-print

Política de saída em texto claro e formato de impressão bonito.

Valor padrão: False
--parameters -p

Arquivo de parâmetros de entrada para acompanhar opcionalmente um modelo do ARM.

--print-existing-policy

Quando habilitado, a política de segurança existente que está presente no Modelo do ARM é impressa na linha de comando e nenhuma nova política de segurança é gerada.

Valor padrão: False
--print-policy

Quando habilitada, a política de segurança gerada é impressa na linha de comando em vez de injetada no modelo do ARM de entrada.

Valor padrão: False
--save-to-file -s

Salve a política de saída no caminho do arquivo fornecido.

--tar

Caminho para um tarball contendo camadas de imagem ou um arquivo JSON contendo caminhos para tarballs de camadas de imagem.

--template-file -a

Insira o arquivo de modelo do ARM.

--validate-sidecar -v

Valide se a imagem usada para gerar a política CCE para um contêiner sidecar será permitida por sua política gerada.

Valor padrão: False
--virtual-node-yaml

Insira o arquivo YAML para geração de política de nó virtual.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az confcom katapolicygen

Crie uma política de segurança de contêiner confidencial para o AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Exemplos

Insira um arquivo YAML do Kubernetes para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json"

Insira um arquivo YAML do Kubernetes para imprimir uma Política de Segurança de Contêiner Confidencial codificada em base64 para stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Insira um arquivo YAML do Kubernetes e um arquivo de configurações personalizadas para injetar uma Política de Segurança de Contêiner Confidencial codificada em base64 no arquivo YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Insira um arquivo YAML do Kubernetes e um arquivo de mapa de configuração externo

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Insira um arquivo YAML do Kubernetes e um arquivo de regras personalizadas

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Inserir um arquivo YAML do Kubernetes com um caminho de soquete containerd personalizado

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parâmetros Opcionais

--config-map-file -c

Caminho para o arquivo de mapa de configuração.

--containerd-pull -d

Use containerd para extrair a imagem. Esta opção só é suportada no Linux.

Valor padrão: False
--containerd-socket-path

Caminho para o soquete containerd. Esta opção só é suportada no Linux.

--outraw

Política de saída em JSON compacto de texto não criptografado em vez do formato base64 padrão.

Valor padrão: False
--print-policy

Imprima a política gerada codificada em base64 no terminal.

Valor padrão: False
--print-version -v

Imprima a versão das ferramentas genpolicy.

Valor padrão: False
--rules-file-name -p

Caminho para o arquivo de regras personalizadas.

--settings-file-name -j

Caminho para o arquivo de configurações personalizadas.

--use-cached-files -u

Use arquivos em cache para economizar tempo de computação.

Valor padrão: False
--yaml -y

Insira o arquivo YAML do Kubernetes.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.