az confcom

Remarque

Cette référence fait partie de l’extension confcom pour Azure CLI (version 2.26.2 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande az confcom . En savoir plus sur les extensions.

Commandes permettant de générer des stratégies de sécurité pour les conteneurs confidentiels dans Azure.

Commandes

Nom	Description	Type	Statut
az confcom acipolicygen	Créez une stratégie de sécurité de conteneur confidentielle pour ACI.	Extension	GA
az confcom katapolicygen	Créez une stratégie de sécurité de conteneur confidentielle pour AKS.	Extension	GA

az confcom acipolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--faster-hashing]
                        [--image]
                        [--infrastructure-svn]
                        [--input]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]

Exemples

Entrez un fichier de modèle ARM pour injecter une stratégie de sécurité de conteneur confidentielle encodée en base64 dans le modèle ARM

az confcom acipolicygen --template-file "./template.json"

Entrez un fichier de modèle ARM pour créer une stratégie de sécurité de conteneur confidentiel lisible par l’homme

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Entrez un fichier de modèle ARM pour enregistrer une stratégie de sécurité de conteneur confidentiel dans un fichier sous forme de texte encodé en base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Entrez un fichier de modèle ARM et utilisez un fichier tar comme source d’image au lieu du démon Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Paramètres facultatifs

--approve-wildcards -y

Lorsque cette option est activée, toutes les invites d’utilisation de wild carte s dans les variables d’environnement sont automatiquement approuvées.

valeur par défaut: False

--debug-mode

Lorsqu’elle est activée, la stratégie de sécurité générée ajoute la possibilité d’utiliser /bin/sh ou /bin/bash pour déboguer le conteneur. Il a également activé l’accès stdio, la possibilité de vider les traces de pile et d’activer la journalisation du runtime. Il est recommandé d’utiliser cette option uniquement à des fins de débogage.

valeur par défaut: False

--diff -d

En cas de combinaison avec un modèle ARM d’entrée, vérifie la stratégie présente dans le modèle ARM sous « ccePolicy » et les conteneurs au sein du modèle ARM sont compatibles. S’ils sont incompatibles, une liste de raisons est donnée et le code d’état de sortie est 2.

valeur par défaut: False

--disable-stdio

Lorsqu’ils sont activés, les conteneurs du groupe de conteneurs n’ont pas accès à stdio.

valeur par défaut: False

--faster-hashing

Lorsqu’il est activé, l’algorithme de hachage utilisé pour générer la stratégie est plus rapide, mais moins efficace en mémoire.

valeur par défaut: False

--image

Nom de l’image d’entrée.

--infrastructure-svn

Numéro de version minimale autorisé du logiciel pour le fragment d’infrastructure.

--input -i

Fichier de configuration JSON d’entrée.

--outraw

Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.

valeur par défaut: False

--outraw-pretty-print

Stratégie de sortie en texte clair et format d’impression.

valeur par défaut: False

--parameters -p

Fichier de paramètres d’entrée pour accompagner éventuellement un modèle ARM.

--print-existing-policy

Lorsqu’elle est activée, la stratégie de sécurité existante présente dans le modèle ARM est imprimée sur la ligne de commande et aucune nouvelle stratégie de sécurité n’est générée.

valeur par défaut: False

--print-policy

Lorsqu’elle est activée, la stratégie de sécurité générée est imprimée sur la ligne de commande au lieu d’être injectée dans le modèle ARM d’entrée.

valeur par défaut: False

--save-to-file -s

Enregistrez la stratégie de sortie dans le chemin d’accès du fichier donné.

--tar

Chemin d’accès à un tarball contenant des couches d’images ou à un fichier JSON contenant des chemins d’accès aux couches d’images.

--template-file -a

Fichier de modèle ARM d’entrée.

--validate-sidecar -v

Vérifiez que l’image utilisée pour générer la stratégie CCE pour un conteneur sidecar sera autorisée par sa stratégie générée.

valeur par défaut: False

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az confcom katapolicygen

Créez une stratégie de sécurité de conteneur confidentielle pour AKS.

az confcom katapolicygen --yaml
                         [--config-map-file]
                         [--outraw]
                         [--print-policy]
                         [--settings-file-name]
                         [--use-cached-files]

Exemples

Entrez un fichier YAML Kubernetes pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML

az confcom katapolicygen --yaml "./pod.json"

Entrez un fichier YAML Kubernetes pour imprimer une stratégie de sécurité de conteneur confidentiel encodée en base64 dans stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Entrez un fichier YAML Kubernetes et un fichier de paramètres personnalisés pour injecter une stratégie de sécurité de conteneur confidentiel encodée en base64 dans le fichier YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Entrer un fichier YAML Kubernetes et un fichier map de configuration externe

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Paramètres obligatoires

--yaml -y

Entrer le fichier Kubernetes YAML.

Paramètres facultatifs

--config-map-file -c

Chemin d’accès au fichier de carte de configuration.

--outraw

Stratégie de sortie au format JSON compact de texte clair au lieu du format base64 par défaut.

valeur par défaut: False

--print-policy

Imprimez la stratégie générée en base64 dans le terminal.

valeur par défaut: False

--settings-file-name -j

Chemin d’accès au fichier de paramètres personnalisés.

--use-cached-files -u

Utilisez des fichiers mis en cache pour économiser du temps de calcul.

valeur par défaut: False

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.