az confcom
Note
Эта ссылка входит в расширение confcom для Azure CLI (версия 2.26.2 или более поздней). Расширение будет автоматически устанавливаться при первом запуске команды az confcom . Подробнее о расширениях.
Команды для создания политик безопасности для конфиденциальных контейнеров в Azure.
Команды
| Имя | Описание | Тип | Состояние |
|---|---|---|---|
| az confcom acifragmentgen |
Создайте фрагмент политики конфиденциального контейнера для ACI. |
Extension | GA |
| az confcom acipolicygen |
Создайте политику безопасности конфиденциального контейнера для ACI. |
Extension | GA |
| az confcom containers |
Команды, которые создают определения контейнеров политики безопасности. |
Extension | GA |
| az confcom containers from_image |
Создайте определение контейнера политики безопасности на основе ссылки на образ. |
Extension | GA |
| az confcom containers from_radius |
Создайте определение контейнера политики безопасности на основе шаблона radius Bicep. |
Extension | Preview |
| az confcom containers from_vn2 |
Создайте определения контейнеров политики безопасности на основе шаблона VN2. |
Extension | GA |
| az confcom fragment |
Команды для обработки фрагментов конфиденциальной политики контейнеров. |
Extension | GA |
| az confcom fragment attach |
Присоединение фрагмента политики конфиденциального контейнера к изображению в реестре ORAS. |
Extension | Preview |
| az confcom fragment push |
Отправьте фрагмент конфиденциальной политики контейнеров в реестр ORAS. |
Extension | Preview |
| az confcom katapolicygen |
Создайте политику безопасности конфиденциального контейнера для AKS. |
Extension | GA |
| az confcom radius |
Команды для управления политиками безопасности для шаблонов Radius Bicep. |
Extension | GA |
| az confcom radius policy_insert |
Вставьте созданную политику безопасности в шаблон radius Bicep. |
Extension | Preview |
az confcom acifragmentgen
Создайте фрагмент политики конфиденциального контейнера для ACI.
az confcom acifragmentgen [--acquire-policy-token]
[--algo]
[--chain]
[--change-reference]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]
Примеры
Ввод имени изображения для создания простого фрагмента
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld
Ввод файла конфигурации для создания фрагмента с включенным пользовательским пространством имен и режимом отладки
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode
Создание инструкции импорта для подписанного локального фрагмента
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1
Создание фрагмента и подписывания COSE с помощью ключа и цепочки
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print
Создание импорта фрагмента из имени образа
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1
Присоединение фрагмента к указанному изображению
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Алгоритм, используемый для подписывания созданного фрагмента политики. Это необходимо использовать с --key и --chain. Поддерживаемые алгоритмы: ['PS256', PS384,PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | ES384 |
Путь к файлу цепочки сертификатов в формате PEM для подписи созданного фрагмента политики. Это необходимо использовать с ключом --key.
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
При включении созданная политика безопасности добавляет возможность использовать /bin/sh или /bin/bash для отладки контейнера. Он также включил доступ stdio, возможность дампа трассировок стека и включает ведение журнала среды выполнения. Этот параметр рекомендуется использовать только для отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
При включении контейнеры в группе контейнеров не имеют доступа к stdio.
Включите стандартные потоки интернета вещей, чтобы оставить контейнер.
Веб-канал, используемый для созданного фрагмента политики. Обычно это совпадает с именем образа при использовании фрагментов, подключенных к изображению. Это расположение в удаленном репозитории, где будет храниться фрагмент.
Путь к существующему файлу фрагмента подписанной политики, который будет использоваться с --generate-import. Этот параметр позволяет создавать инструкции импорта для указанного фрагмента без необходимости явно извлекать его из реестра OCI. Это может быть локальный путь или справочник по реестру OCI. Для локальных фрагментов файл останется в том же расположении. Для удаленных фрагментов файл будет скачан и очищен после обработки.
Путь к JSON-файлу, который будет хранить сведения импорта фрагмента, созданные при использовании --generate-import. Этот файл может быть переведен в команду создания политики (acipolicygen), чтобы включить фрагмент в новую или существующую политику. Если это не указано, инструкция импорта будет напечатана в консоли вместо сохранения в файле.
Создайте инструкцию импорта для фрагмента политики.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Изображение, используемое для созданного фрагмента политики.
Целевой объект изображения, в котором подключен созданный фрагмент политики.
Путь к JSON-файлу с конфигурацией для созданного фрагмента политики.
Путь к pem-файлу отформатированного ключа для подписи созданного фрагмента политики. Это необходимо использовать с цепочкой --chain.
Используется с параметром --generate-import для указания минимального SVN для инструкции импорта.
Пространство имен, используемое для созданного фрагмента политики.
Не печатайте созданный фрагмент политики в stdout.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Если эта политика включена, созданная политика не будет содержать поле идентификатора. При этом политика будет привязана к определенному имени изображения и тегу. Это полезно, если используемый образ будет присутствовать в нескольких реестрах и используется взаимозаменяемо.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Выдает только подписанные фрагменты байтов.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Сохраните политику вывода в заданный путь к файлу.
Политика вывода в виде четкого текста с компактным форматом JSON вместо формата печати по умолчанию.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Минимальный допустимый номер версии программного обеспечения для созданного фрагмента политики. Это должно быть монотонно увеличивающееся целое число.
Путь к тарболу, содержащей слои изображений или JSON-файл, содержащий пути к тарболам слоев изображений.
При включении созданный фрагмент политики будет отправлен в реестр используемого образа.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Определения контейнеров для включения в политику.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az confcom acipolicygen
Создайте политику безопасности конфиденциального контейнера для ACI.
az confcom acipolicygen [--acquire-policy-token]
[--approve-wildcards]
[--change-reference]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--platform {linux/amd64, windows/amd64}]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]
Примеры
Ввод файла шаблона ARM для внедрения в шаблон ARM политики безопасности конфиденциального контейнера в кодировке Base64
az confcom acipolicygen --template-file "./template.json"
Ввод файла шаблона ARM для создания политики безопасности конфиденциального контейнера, доступной для чтения пользователем
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print
Ввод файла шаблона ARM для сохранения конфиденциальной политики безопасности контейнера в файл в виде текста в кодировке Base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy
Введите файл шаблона ARM и используйте tar-файл в качестве источника образа вместо управляющей программы Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"
Ввод файла шаблона ARM и использование фрагментов JSON-файла для создания политики
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments
Создание политики контейнеров Windows (требуется Docker Desktop в режиме Windows контейнеров)
az confcom acipolicygen --template-file "./template.json" --platform windows/amd64 --outraw-pretty-print
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
При включении все запросы на использование подстановочных знаков в переменных среды автоматически утверждены.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
При включении созданная политика безопасности добавляет возможность использовать /bin/sh или /bin/bash для отладки контейнера. Он также включил доступ stdio, возможность дампа трассировок стека и включает ведение журнала среды выполнения. Этот параметр рекомендуется использовать только для отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
При сочетании с входным файлом шаблона ARM (или YAML-файлом для создания политики виртуального узла) проверяет политику, представленную в шаблоне ARM в разделе "ccePolicy", и контейнеры в файле совместимы. Если они несовместимы, указан список причин, и код состояния выхода будет 2.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
При включении контейнеры в группе контейнеров не имеют доступа к stdio.
Включите стандартные потоки интернета вещей, чтобы оставить контейнер.
При включении фрагменты по умолчанию не включаются в созданную политику. Сюда входят контейнеры, необходимые для подключения файлов Azure, подключения секретов, репозиториев git и других распространенных функций ACI.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
При включении алгоритм хэширования, используемый для создания политики, быстрее, но меньше памяти.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Путь к JSON-файлу, содержащий сведения о фрагментах, используемых для создания политики. Для этого требуется включить фрагменты --include-.
Имя входного изображения.
При включении путь, указанный в файле --fragments-json, будет использоваться для извлечения фрагментов из реестра OCI или локально и включения их в созданную политику.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Минимальный допустимый номер версии программного обеспечения для фрагмента инфраструктуры.
Входной файл конфигурации JSON.
Если эта политика включена, созданная политика не будет содержать поле идентификатора. При этом политика будет привязана к определенному имени изображения и тегу. Это полезно, если используемый образ будет присутствовать в нескольких реестрах и используется взаимозаменяемо.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Политика вывода в виде чистого текста с компактным форматом JSON вместо формата Base64 по умолчанию.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Политика вывода в виде четкого текста и довольно формат печати.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Файл входных параметров для дополнительного сопровождения шаблона ARM.
Целевая платформа для создания политик (linux/amd64 или windows/amd64). По умолчанию используется linux/amd64. Docker Desktop должен работать в соответствующем режиме контейнера, чтобы создать правильные хэши слоев.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | linux/amd64 |
| Допустимые значения: | linux/amd64, windows/amd64 |
При включении существующая политика безопасности, которая присутствует в шаблоне ARM, печатается в командной строке, и новая политика безопасности не создается.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
При включении созданная политика безопасности выводится в командную строку вместо внедрения в входной шаблон ARM.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Сохраните политику вывода в заданный путь к файлу.
Путь к тарболу, содержащей слои изображений или JSON-файл, содержащий пути к тарболам слоев изображений.
Входной файл шаблона ARM.
Убедитесь, что образ, используемый для создания политики CCE для контейнера бокового контейнера, будет разрешен с помощью созданной политики.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Входной файл YAML для создания политики виртуального узла.
Определения контейнеров для включения в политику.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
az confcom katapolicygen
Создайте политику безопасности конфиденциального контейнера для AKS.
az confcom katapolicygen [--acquire-policy-token]
[--change-reference]
[--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]
Примеры
Ввод файла YAML Kubernetes для внедрения политики безопасности конфиденциального контейнера в YAML-файл в кодировке Base64
az confcom katapolicygen --yaml "./pod.json"
Ввод файла YAML Kubernetes для печати политики безопасности конфиденциального контейнера в кодировке Base64 в stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy
Введите файл YAML Kubernetes и пользовательский файл параметров, чтобы внедрить в YAML-файл политику безопасности конфиденциального контейнера в кодировке Base64.
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"
Ввод файла YAML Kubernetes и внешнего файла карты конфигурации
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"
Ввод файла YAML Kubernetes и пользовательского файла правил
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"
Ввод файла YAML Kubernetes с помощью пользовательского пути сокета контейнера
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"
Необязательные параметры
Следующие параметры являются необязательными, но в зависимости от контекста один или несколько могут потребоваться для успешного выполнения команды.
Автоматическое получение маркера Политика Azure для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Связанный идентификатор ссылки на изменение для этой операции ресурса.
| Свойство | Значение |
|---|---|
| Группа параметров: | Global Policy Arguments |
Путь к файлу карты конфигурации.
Используйте контейнер для извлечения изображения. Этот параметр поддерживается только в Linux.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Путь к контейнеру сокета. Этот параметр поддерживается только в Linux.
Политика вывода в виде чистого текста с компактным форматом JSON вместо формата Base64 по умолчанию.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Печать созданной политики в кодировке Base64 в терминале.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Печать версии инструментов genpolicy.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Путь к файлу пользовательских правил.
Путь к файлу пользовательских параметров.
Использование кэшированных файлов для экономии времени вычислений.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Входной файл YAML Kubernetes.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Показать это сообщение справки и выйти.
Отображать только ошибки, не показывая предупреждения.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |
Формат вывода.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | json |
| Допустимые значения: | json, jsonc, none, table, tsv, yaml, yamlc |
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.
Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
| Свойство | Значение |
|---|---|
| Значение по умолчанию: | False |