Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

2.2. ポリシーの概要

ポリシーを作成および管理し、可視性を高め、標準に合わせて設定を修正するには、Red Hat Advanced Cluster Management for Kubernetes のセキュリティーポリシーフレームワークを使用します。ポリシーの作成には、Kubernetes カスタムリソース定義インスタンスが使用されます。ポリシーは、マネージドクラスターの namespace を除く、ハブクラスター上の任意の namespace に作成できます。マネージドクラスターの namespace にポリシーを作成すると、そのポリシーは Red Hat Advanced Cluster Management によって削除されます。Red Hat Advanced Cluster Management の各ポリシーは、1 つ以上のポリシーテンプレート定義にまとめることができます。ポリシー要素の詳細は、このページの ポリシー YAML の表 のセクションを参照してください。

マネージドクラウド環境が、Kubernetes クラスターでホストされるワークロードの社内エンタープライズセキュリティー標準 (ソフトウェアエンジニアリング、セキュアエンジニアリング、回復力、セキュリティー、および規制コンプライアンスに関する標準) を満たしていることを確認するのは、お客様の責任です。

2.2.1. 前提条件
リンクのコピー

  • 各ポリシーに、ポリシードキュメントの適用先のクラスターを定義する Placement リソースと、Red Hat Advanced Cluster Management for Kubernetes ポリシーをバインドする PlacementBinding リソースが必要です。

    ポリシーリソースは、関連付けられた Placement 定義に基づいてクラスターに適用され、特定の条件に一致するマネージドクラスターのリストを表示できます。environment=dev ラベルを持つすべてのクラスターに一致するサンプルの Placement リソースは、次の YAML のようになります。 

    apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-role
spec:
  predicates:
  - requiredClusterSelector:
    labelSelector:
    matchExpressions:
      - {key: environment, operator: In, values: ["dev"]}
    Copy to Clipboard Toggle word wrap

    配置とサポートされる基準の詳細は、クラスターライフサイクルドキュメントの 配置の概要 を参照してください。

  • Placement リソースに加えて、Placement リソースをポリシーにバインドするための PlacementBinding を作成する必要があります。environment=dev ラベルを持つすべてのクラスターに一致するサンプルの Placement リソースは、次の YAML のようになります。 

    apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
placementRef:
  name: placement-policy-role
    1 
    
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
    2 
    
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
    Copy to Clipboard Toggle word wrap
    1
    前のサンプルを使用する場合は、配置名と一致するように、placementRef セクションの Placement リソースの名前を更新してください。
    2
    ポリシー名と一致するように、subjects セクションのポリシー名を更新する必要があります。oc apply -f resource.yaml -n namespace コマンドを使用して、Placement リソースと Placementbinding リソースの両方を適用します。ポリシー、配置、配置バインディングがすべて同じ namespace に作成されていることを確認します。
  • Placement リソースを使用するには、ManagedClusterSetBinding リソースを使用して、ManagedClusterSet リソースを Placement リソースの namespace にバインドする必要があります。詳細は、ManagedClusterSetBinding リソースの作成 を参照してください。
  • コンソールからポリシーの Placement リソースを作成すると、配置の容認のステータスが Placement リソースに自動的に追加されます。詳細は、配置への容認の追加 参照してください。

ベストプラクティス: Placement リソースの使用時には、コマンドラインインターフェイス (CLI) を使用してポリシーの更新を行います。

以下のセクションでは、ポリシーコンポーネントを説明します。

2.2.2. ポリシー YAML の設定
リンクのコピー

ポリシーの作成時に、必須パラメーターフィールドと値を含める必要があります。ポリシーコントローラーによっては、他の任意のフィールドおよび値の追加が必要になる場合があります。ポリシーの YAML 設定を以下に示します。 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  disabled:
  remediationAction:
  dependencies:
  - apiVersion: policy.open-cluster-management.io/v1
    compliance:
    kind: Policy
    name:
    namespace:
  policy-templates:
    - objectDefinition:
        apiVersion:
        kind:
        metadata:
          name:
        spec:
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
bindingOverrides:
  remediationAction:
subFilter:
  name:
placementRef:
  name:
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name:
  kind:
  apiGroup:
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name:
spec:
Copy to Clipboard Toggle word wrap

2.2.3. ポリシー YAML の表
リンクのコピー

ポリシーパラメーターの説明は、以下の表を参照してください。

Expand
表2.1 パラメーターの表
フィールド任意または必須説明

apiVersion

必須

この値は policy.open-cluster-management.io/v1 に設定します。

kind

必須

ポリシーのタイプを指定するには、値を Policy に設定します。

metadata.name

必須

ポリシーリソースを識別する名前。

metadata.annotations

任意

ポリシーが検証を試みる標準セットを記述する、一連のセキュリティー情報の指定に使用します。ここに記載されているすべてのアノテーションは、コンマ区切りリストを含む文字列として表示されます。

注記: コンソールの ポリシー ページで、ポリシー定義の標準およびカテゴリーに基づいてポリシー違反を表示できます。

bindingOverrides.remediationAction

任意

このパラメーターを enforce に設定すると、設定ポリシーに関連する PlacementBinding リソースの修復アクションをオーバーライドする方法が提供されます。デフォルト値は null です。

subFilter

任意

バインドされたポリシーのサブセットを選択するには、このパラメーターを restriction に設定します。デフォルト値は null です。

annotations.policy.open-cluster-management.io/standards

任意

ポリシーが関連するセキュリティー標準の名前。たとえば、アメリカ国立標準技術研究所 (NIST: National Institute of Standards and Technology) および Payment Card Industry (PCI) などがあります。

annotations.policy.open-cluster-management.io/categories

任意

セキュリティーコントロールカテゴリーは、1 つ以上の標準に関する特定要件を表します。たとえば、システムおよび情報の整合性カテゴリーには、HIPAA および PCI 標準で必要とされているように、個人情報保護のデータ転送プロトコルが含まれる場合があります。

annotations.policy.open-cluster-management.io/controls

任意

チェックされるセキュリティー制御の名前。たとえば、アクセス制御やシステムと情報のインテグリティーです。

spec.disabled

必須

この値は true または false に設定します。disabled パラメーターを使用すると、ポリシーを有効または無効にできます。

spec.remediationAction

任意

ポリシーの修正を指定します。パラメーターの値は enforce および inform です。指定すると、定義した spec.remediationAction 値は、policy-templates セクションの子ポリシーに定義した remediationAction パラメーターより優先されます。たとえば、spec.remediationAction の値のセクションを enforce に設定すると、policy-templatesremediationAction はランタイム時に enforce に設定されます。

spec.copyPolicyMetadata

任意

ポリシーをマネージドクラスターに複製するときに、ポリシーのラベルとアノテーションをコピーするかどうかを指定します。true に設定すると、ポリシーのすべてのラベルとアノテーションが複製されたポリシーにコピーされます。false に設定すると、ポリシーフレームワーク固有のポリシーラベルとアノテーションのみが複製されたポリシーにコピーされます。

spec.dependencies

任意

コンプライアンスに関する特別な考慮事項を含む詳細な依存オブジェクトのリストを作成するために使用されます。

spec.policy-templates

必須

1 つ以上のポリシーを作成し、マネージドクラスターに適用するのに使用します。

spec.policy-templates.extraDependencies

任意

ポリシーテンプレートの場合は、これを使用して、コンプライアンスに関する特別な考慮事項を詳述した依存オブジェクトのリストを作成します。

spec.policy-templates.ignorePending

任意

依存関係の基準が検証されるまで、ポリシーテンプレートを準拠としてマークするために使用されます。

重要: 一部のポリシーの種類は、強制機能をサポートしていない場合があります。

2.2.4. ポリシーサンプルファイル
リンクのコピー

ロールの設定ポリシーである以下の YAML ファイルを確認します。 

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy-role
  annotations:
    policy.open-cluster-management.io/standards: NIST SP 800-53
    policy.open-cluster-management.io/categories: AC Access Control
    policy.open-cluster-management.io/controls: AC-3 Access Enforcement
    policy.open-cluster-management.io/description:
spec:
  remediationAction: inform
  disabled: false
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name: policy-role-example
        spec:
          remediationAction: inform # the policy-template spec.remediationAction is overridden by the preceding parameter value for spec.remediationAction.
          severity: high
          namespaceSelector:
            include: ["default"]
          object-templates:
            - complianceType: mustonlyhave # role definition should exact match
              objectDefinition:
                apiVersion: rbac.authorization.k8s.io/v1
                kind: Role
                metadata:
                  name: sample-role
                rules:
                  - apiGroups: ["extensions", "apps"]
                    resources: ["deployments"]
                    verbs: ["get", "list", "watch", "delete","patch"]
---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding-policy-role
placementRef:
  name: placement-policy-role
  kind: Placement
  apiGroup: cluster.open-cluster-management.io
subjects:
- name: policy-role
  kind: Policy
  apiGroup: policy.open-cluster-management.io
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: placement-policy-role
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
        - {key: environment, operator: In, values: ["dev"]}
Copy to Clipboard Toggle word wrap

2.2.5. 関連情報
リンクのコピー

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat