az confcom
Note
Diese Referenz ist Teil der Confcom-Erweiterung für die Azure CLI (Version 2.26.2 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen az confcom-Befehl zum ersten Mal ausführen. Erfahren Sie mehr über Erweiterungen.
Befehle zum Generieren von Sicherheitsrichtlinien für vertrauliche Container in Azure.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az confcom acifragmentgen |
Erstellen Sie ein Fragment für vertrauliche Containerrichtlinien für ACI. |
Extension | GA |
| az confcom acipolicygen |
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für ACI. |
Extension | GA |
| az confcom fragment |
Befehle zum Behandeln vertraulicher Containerrichtlinienfragmente. |
Extension | GA |
| az confcom fragment attach |
Fügen Sie ein Fragment für vertrauliche Containerrichtlinien an ein Image in einer ORAS-Registrierung an. |
Extension | Vorschau |
| az confcom fragment push |
Pushen Sie ein Fragment für vertrauliche Containerrichtlinien an eine ORAS-Registrierung. |
Extension | Vorschau |
| az confcom katapolicygen |
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für AKS. |
Extension | GA |
az confcom acifragmentgen
Erstellen Sie ein Fragment für vertrauliche Containerrichtlinien für ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Beispiele
Eingeben eines Bildnamens zum Generieren eines einfachen Fragments
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldEingeben einer Konfigurationsdatei zum Generieren eines Fragments mit einem benutzerdefinierten Namespace und aktiviertem Debugmodus
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGenerieren einer Import-Anweisung für ein signiertes lokales Fragment
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Generieren eines Fragments und COSE-Zeichens mit einem Schlüssel und einer Kette
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGenerieren eines Fragmentimports aus einem Bildnamen
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Anfügen eines Fragments an ein angegebenes Bild
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Algorithmus, der zum Signieren des generierten Richtlinienfragments verwendet wird. Dies muss mit --key und --chain verwendet werden. Unterstützte Algorithmen sind ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Eigenschaft | Wert |
|---|---|
| Standardwert: | ES384 |
Pfad zur formatierten ZERTIFIKATkettendatei, die zum Signieren des generierten Richtlinienfragments verwendet werden soll. Dies muss mit --key verwendet werden.
Wenn diese Option aktiviert ist, bietet die generierte Sicherheitsrichtlinie die Möglichkeit, den Container mithilfe von "/bin/sh" oder "/bin/bash" zu debuggen. Außerdem wurde der Stdiozugriff aktiviert, die Möglichkeit, Stapelablaufverfolgungen abzubilden und die Laufzeitprotokollierung zu ermöglichen. Es wird empfohlen, diese Option nur für Debuggingzwecke zu verwenden.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, haben die Container in der Containergruppe keinen Zugriff auf Stdio.
Aktivieren Sie die Standard-E/A-Datenströme, um den Container zu verlassen.
Feed, der für das generierte Richtlinienfragment verwendet werden soll. Dies entspricht in der Regel dem Bildnamen bei Verwendung von Bildfragmenten. Es ist der Speicherort im Remote-Repository, an dem das Fragment gespeichert wird.
Pfad zu einer vorhandenen signierten Richtlinienfragmentdatei, die mit "--generate-import" verwendet werden soll. Mit dieser Option können Sie Importanweisungen für das angegebene Fragment erstellen, ohne sie explizit aus einer OCI-Registrierung abrufen zu müssen. Dies kann entweder ein lokaler Pfad oder ein OCI-Registrierungsverweis sein. Bei lokalen Fragmenten verbleibt die Datei an demselben Speicherort. Bei Remotefragmenten wird die Datei nach der Verarbeitung heruntergeladen und bereinigt.
Pfad zu einer JSON-Datei, die die Fragmentimportinformationen speichert, die bei Verwendung von --generate-import generiert werden. Diese Datei kann später in den Befehl für die Richtliniengenerierung (acipolicygen) eingespeist werden, um das Fragment in eine neue oder vorhandene Richtlinie einzuschließen. Wenn nicht angegeben, wird die Import-Anweisung in die Konsole gedruckt, anstatt in einer Datei gespeichert zu werden.
Generieren Sie eine Importanweisungen für ein Richtlinienfragment.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Bild, das für das generierte Richtlinienfragment verwendet werden soll.
Bildziel, an das das generierte Richtlinienfragment angefügt ist.
Pfad zu einer JSON-Datei, die die Konfiguration für das generierte Richtlinienfragment enthält.
Pfad zur formatierten PEM-Schlüsseldatei, die zum Signieren des generierten Richtlinienfragments verwendet werden soll. Dies muss mit --chain verwendet werden.
Wird mit "--generate-import" verwendet, um den minimalen SVN für die Import-Anweisung anzugeben.
Namespace, der für das generierte Richtlinienfragment verwendet werden soll.
Drucken Sie das generierte Richtlinienfragment nicht in "stdout".
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, enthält die generierte Richtlinie nicht das ID-Feld. Dadurch wird verhindert, dass die Richtlinie mit einem bestimmten Bildnamen und -tag verknüpft ist. Dies ist hilfreich, wenn das verwendete Bild in mehreren Registern vorhanden und austauschbar verwendet wird.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Gibt nur die signierten Fragmentbytes aus.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Speichern Sie die Ausgaberichtlinie in einem bestimmten Dateipfad.
Ausgaberichtlinie im klartextkomprimen JSON anstelle des standardmäßigen ziemlichen Druckformats.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Mindestens zulässige Softwareversionsnummer für das generierte Richtlinienfragment. Dies sollte eine monoton zunehmende ganze Zahl sein.
Pfad zu einem Tarball, der Bildebenen enthält, oder einer JSON-Datei, die Pfade zu Tarballen von Bildebenen enthält.
Wenn diese Option aktiviert ist, wird das generierte Richtlinienfragment in die Registrierung des verwendeten Bilds hochgeladen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Containerdefinitionen, die in die Richtlinie eingeschlossen werden sollen.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az confcom acipolicygen
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Beispiele
Geben Sie eine ARM-Vorlagendatei ein, um eine base64-codierte Sicherheitsrichtlinie für vertrauliche Container in die ARM-Vorlage einzufügen.
az confcom acipolicygen --template-file "./template.json"Eingeben einer ARM-Vorlagendatei zum Erstellen einer lesbaren Vertraulichen Containersicherheitsrichtlinie
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEingeben einer ARM-Vorlagendatei zum Speichern einer Vertraulichen Containersicherheitsrichtlinie in einer Datei als base64-codierter Text
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyGeben Sie eine ARM-Vorlagendatei ein und verwenden Sie eine Tar-Datei als Imagequelle anstelle des Docker-Daemons.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Eingeben einer ARM-Vorlagendatei und Verwenden einer JSON-Fragmentdatei zum Generieren einer Richtlinie
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsOptionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Wenn diese Option aktiviert ist, werden alle Aufforderungen zur Verwendung von Wildcards in Umgebungsvariablen automatisch genehmigt.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, bietet die generierte Sicherheitsrichtlinie die Möglichkeit, den Container mithilfe von "/bin/sh" oder "/bin/bash" zu debuggen. Außerdem wurde der Stdiozugriff aktiviert, die Möglichkeit, Stapelablaufverfolgungen abzubilden und die Laufzeitprotokollierung zu ermöglichen. Es wird empfohlen, diese Option nur für Debuggingzwecke zu verwenden.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
In Kombination mit einer Eingabe-ARM-Vorlagendatei (oder YAML-Datei für die Generierung virtueller Knotenrichtlinien) überprüft die Richtlinie, die in der ARM-Vorlage unter "ccePolicy" vorhanden ist, und die Container in der Datei sind kompatibel. Wenn sie nicht kompatibel sind, wird eine Liste der Gründe angegeben, und der Beendigungsstatuscode ist 2.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, haben die Container in der Containergruppe keinen Zugriff auf Stdio.
Aktivieren Sie die Standard-E/A-Datenströme, um den Container zu verlassen.
Wenn diese Option aktiviert ist, sind die Standardfragmente nicht in der generierten Richtlinie enthalten. Dazu gehören Container, die zum Bereitstellen von Azure-Dateien, Zum Bereitstellen von Geheimschlüsseln, zum Bereitstellen von Git-Repositorys und anderen allgemeinen ACI-Features erforderlich sind.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, ist der zum Generieren der Richtlinie verwendete Hashingalgorithmus schneller, aber weniger arbeitsspeichereffizient.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Pfad zur JSON-Datei, die Fragmentinformationen enthält, die zum Generieren einer Richtlinie verwendet werden sollen. Dies erfordert die Aktivierung von "-include-fragments".
Eingabebildname.
Wenn diese Option aktiviert ist, wird der durch "--fragments-json" angegebene Pfad verwendet, um Fragmente aus einer OCI-Registrierung oder lokal abzurufen und in die generierte Richtlinie einzuschließen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Mindestens zulässige Softwareversionsnummer für Infrastrukturfragment.
Eingabe-JSON-Konfigurationsdatei.
Wenn diese Option aktiviert ist, enthält die generierte Richtlinie nicht das ID-Feld. Dadurch wird verhindert, dass die Richtlinie mit einem bestimmten Bildnamen und -tag verknüpft ist. Dies ist hilfreich, wenn das verwendete Bild in mehreren Registern vorhanden und austauschbar verwendet wird.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgaberichtlinie im klartextkomprimen JSON anstelle des Standardmäßigen Base64-Formats.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgaberichtlinie im Klartext- und ziemlichen Druckformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Eingabeparameterdatei zur optionalen Begleitung einer ARM-Vorlage.
Wenn diese Option aktiviert ist, wird die vorhandene Sicherheitsrichtlinie, die in der ARM-Vorlage vorhanden ist, in die Befehlszeile gedruckt, und es wird keine neue Sicherheitsrichtlinie generiert.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Wenn diese Option aktiviert ist, wird die generierte Sicherheitsrichtlinie in die Befehlszeile gedruckt, anstatt sie in die Eingabe-ARM-Vorlage einzufügen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Speichern Sie die Ausgaberichtlinie in einem bestimmten Dateipfad.
Pfad zu einem Tarball, der Bildebenen enthält, oder einer JSON-Datei, die Pfade zu Tarballen von Bildebenen enthält.
Eingabe-ARM-Vorlagendatei.
Überprüfen Sie, ob das Zum Generieren der CCE-Richtlinie für einen Sidecar-Container verwendete Image von der generierten Richtlinie zugelassen wird.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Eingabe-YAML-Datei für die Generierung virtueller Knotenrichtlinien.
Containerdefinitionen, die in die Richtlinie eingeschlossen werden sollen.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az confcom katapolicygen
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Beispiele
Eingeben einer Kubernetes-YAML-Datei zum Einfügen einer base64-codierten Vertraulichen Containersicherheitsrichtlinie in die YAML-Datei
az confcom katapolicygen --yaml "./pod.json"Eingeben einer Kubernetes-YAML-Datei zum Drucken einer base64-codierten vertraulichen Containersicherheitsrichtlinie in Stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEingeben einer Kubernetes-YAML-Datei und einer benutzerdefinierten Einstellungsdatei zum Einfügen einer base64-codierten Vertraulichen Containersicherheitsrichtlinie in die YAML-Datei
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Eingeben einer Kubernetes-YAML-Datei und einer externen Konfigurationszuordnungsdatei
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Eingeben einer Kubernetes-YAML-Datei und einer benutzerdefinierten Regeldatei
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Eingeben einer Kubernetes-YAML-Datei mit einem benutzerdefinierten Container-Socketpfad
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Pfad zur Konfigurationszuordnungsdatei.
Verwenden Sie containerd, um das Image abzurufen. Diese Option wird nur unter Linux unterstützt.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Pfad zum containerierten Socket. Diese Option wird nur unter Linux unterstützt.
Ausgaberichtlinie im klartextkomprimen JSON anstelle des Standardmäßigen Base64-Formats.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Drucken Sie die base64-codierte generierte Richtlinie im Terminal.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Drucken Sie die Version der Genpolicy-Tools.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Pfad zur benutzerdefinierten Regeldatei.
Pfad zur benutzerdefinierten Einstellungsdatei.
Verwenden Sie zwischengespeicherte Dateien, um die Berechnungszeit zu speichern.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Eingabe-YAML Kubernetes-Datei.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
