ホーム
製品
Red Hat Advanced Cluster Management for Kubernetes
2.3
ガバナンス
2.6.4. セキュリティーポリシーの管理

2.6.4. セキュリティーポリシーの管理

セキュリティーポリシーを作成して、指定のセキュリティー標準、カテゴリー、制御をもとにクラスターのコンプライアンスを報告して検証します。Red Hat Advanced Cluster Management for Kubernetes のポリシーを作成するには、マネージドクラスターで YAML ファイルを作成する必要があります。

Note: ポリシー YAML に既存のポリシーをコピーアンドペーストします。パラメーターフィールドの値は、既存のポリシーを貼り付けると自動的に入力されます。検索機能で、ポリシー YAML ファイルの内容も検索できます。

以下のセクションを参照してください。

2.6.4.1. セキュリティーポリシーの作成
リンクのコピー

コマンドラインインターフェース (CLI) またはコンソールからセキュリティーポリシーを作成できます。クラスター管理者のアクセス権限が必要です。

重要: ポリシーを特定のクラスターに適用するには、配置ルールおよび配置バインディングを定義する必要があります。Cluster selector フィールドに値を入力して、PlacementRule と PlacementBinding を定義します。有効な式については、Kubernetes ドキュメントの「セットベースの要件をサポートするリソース」を参照してください。Red Hat Advanced Cluster Management for Kubernetes ポリシーに必要なオブジェクトの定義を表示します。

PlacementRule: ポリシーをデプロイする必要のある クラスターセレクター を定義します。
PlacementBinding: 配置を配置ルールにバインドします。

ポリシー YAML ファイルに関する詳細は、「ポリシーの概要」を参照してください。

2.6.4.1.1. コマンドラインインターフェースからのセキュリティーポリシーの作成
リンクのコピー

コマンドラインインターフェース (CLI) からポリシーを作成するには、以下の手順を実行します。

以下のコマンドを実行してポリシーを作成します。
```
kubectl create -f policy.yaml -n <namespace>
```
```
kubectl create -f policy.yaml -n <namespace>
```
Copy to Clipboard Toggle word wrap

ポリシーが使用するテンプレートを定義します。.yaml ファイルを編集し、templates フィールドを追加してテンプレートを定義します。ポリシーは以下の YAML ファイルのようになります。

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy1
spec:
  remediationAction: "enforce" # or inform
  disabled: false # or true
  namespaces:
    include: ["default"]
    exclude: ["kube*"]
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          namespace: kube-system # will be inferred
          name: operator
        spec:
          remediationAction: "inform"
          object-templates:
            complianceType: "musthave" # at this level, it means the role must exist and must have the following rules
            apiVersion: rbac.authorization.k8s.io/v1
            kind: Role
            metadata:
              name: example
            objectDefinition:
              rules:
                - complianceType: "musthave" # at this level, it means if the role exists the rule is a musthave
                  apiGroups: ["extensions", "apps"]
                  resources: ["deployments"]
                  verbs: ["get", "list", "watch", "create", "delete","patch"]

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name: policy1
spec:
  remediationAction: "enforce" # or inform
  disabled: false # or true
  namespaces:
    include: ["default"]
    exclude: ["kube*"]
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          namespace: kube-system # will be inferred
          name: operator
        spec:
          remediationAction: "inform"
          object-templates:
            complianceType: "musthave" # at this level, it means the role must exist and must have the following rules
            apiVersion: rbac.authorization.k8s.io/v1
            kind: Role
            metadata:
              name: example
            objectDefinition:
              rules:
                - complianceType: "musthave" # at this level, it means if the role exists the rule is a musthave
                  apiGroups: ["extensions", "apps"]
                  resources: ["deployments"]
                  verbs: ["get", "list", "watch", "create", "delete","patch"]

Copy to Clipboard

Toggle word wrap

PlacementRule を定義します。PlacementRule を変更して、clusterNames または clusterLabels で、ポリシーを適用する必要のあるクラスターを指定します。「配置ルールの作成および管理」を参照してください。

PlacementRule は以下の内容のようになります。

apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement1
spec:
  clusterConditions:
    - type: ManagedClusterConditionAvailable
      status: "True"
  clusterNames:
  - "cluster1"
  - "cluster2"
  clusterLabels:
    matchLabels:
      cloud: IBM

apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: placement1
spec:
  clusterConditions:
    - type: ManagedClusterConditionAvailable
      status: "True"
  clusterNames:
  - "cluster1"
  - "cluster2"
  clusterLabels:
    matchLabels:
      cloud: IBM

Copy to Clipboard

Toggle word wrap

PlacementBinding を定義して、ポリシーと PlacementRule をバインドします。PlacementBinding は以下の YAML の例のようになります。

apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding1
placementRef:
  name: placement1
  apiGroup: apps.open-cluster-management.io
  kind: PlacementRule
subjects:
- name: policy1
  apiGroup: policy.open-cluster-management.io
  kind: Policy

apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: binding1
placementRef:
  name: placement1
  apiGroup: apps.open-cluster-management.io
  kind: PlacementRule
subjects:
- name: policy1
  apiGroup: policy.open-cluster-management.io
  kind: Policy

Copy to Clipboard

Toggle word wrap

2.6.4.1.1.1. CLI からのセキュリティーポリシーの表示
リンクのコピー

以下の手順を実行して、CLI からセキュリティーポリシーを表示します。

以下のコマンドを実行して、特定のセキュリティーポリシーの詳細を表示します。
```
kubectl get securityepolicy <policy-name> -n <namespace> -o yaml
```
```
kubectl get securityepolicy <policy-name> -n <namespace> -o yaml
```
Copy to Clipboard Toggle word wrap
以下のコマンドを実行して、セキュリティーポリシーの詳細を表示します。
```
kubectl describe securitypolicy <name> -n <namespace>
```
```
kubectl describe securitypolicy <name> -n <namespace>
```
Copy to Clipboard Toggle word wrap

2.6.4.1.2. コンソールからのクラスターセキュリティーポリシーの作成
リンクのコピー

コンソールから新規ポリシーを作成すると、YAML エディターで YAML ファイルも作成されます。

ナビゲーションメニューから Governance をクリックします。
ポリシーを作成するには、Create policy をクリックします。
以下のパラメーターの値を入力または選択します。
- Name (名前)
- Namespace
- Specifications (仕様)
- Cluster selector (クラスターセレクター)
- Standards (標準)
- Categories (カテゴリー)
- Controls (制御)
- Remediation action (修復アクション)
- Disable policy (ポリシーの無効化)

以下で、Red Hat Advanced Cluster Management for Kubernetes セキュリティーポリシー定義の例を表示します。次に、ポリシーの YAML ファイルをコピーアンドペーストします。

YAML ファイルは以下のポリシーのようになります。

 apiVersion: policy.open-cluster-management.io/v1
 kind: Policy
 metadata:
   name: policy-pod
   annotations:
     policy.open-cluster-management.io/categories: 'SystemAndCommunicationsProtections,SystemAndInformationIntegrity'
     policy.open-cluster-management.io/controls: 'control example'
     policy.open-cluster-management.io/standards: 'NIST,HIPAA'
 spec:
   complianceType: musthave
   namespaces:
     exclude: ["kube*"]
     include: ["default"]
   object-templates:
   - complianceType: musthave
     objectDefinition:
       apiVersion: v1
       kind: Pod
       metadata:
         name: pod1
       spec:
         containers:
         - name: pod-name
           image: 'pod-image'
           ports:
           - containerPort: 80
   remediationAction: enforce
   disabled: false

 ---
 apiVersion: apps.open-cluster-management.io/v1
 kind: PlacementBinding
 metadata:
   name: binding-pod
 placementRef:
   name: placement-pod
   kind: PlacementRule
   apiGroup: apps.open-cluster-management.io
 subjects:
 - name: policy-pod
   kind: Policy
   apiGroup: policy.open-cluster-management.io

 ---
 apiVersion: apps.open-cluster-management.io/v1
 kind: PlacementRule
 metadata:
   name: placement-pod
 spec:
   clusterConditions:
     - type: ManagedClusterConditionAvailable
       status: "True"
   clusterLabels:
     matchLabels:
       cloud: "IBM"

 apiVersion: policy.open-cluster-management.io/v1
 kind: Policy
 metadata:
   name: policy-pod
   annotations:
     policy.open-cluster-management.io/categories: 'SystemAndCommunicationsProtections,SystemAndInformationIntegrity'
     policy.open-cluster-management.io/controls: 'control example'
     policy.open-cluster-management.io/standards: 'NIST,HIPAA'
 spec:
   complianceType: musthave
   namespaces:
     exclude: ["kube*"]
     include: ["default"]
   object-templates:
   - complianceType: musthave
     objectDefinition:
       apiVersion: v1
       kind: Pod
       metadata:
         name: pod1
       spec:
         containers:
         - name: pod-name
           image: 'pod-image'
           ports:
           - containerPort: 80
   remediationAction: enforce
   disabled: false

 ---
 apiVersion: apps.open-cluster-management.io/v1
 kind: PlacementBinding
 metadata:
   name: binding-pod
 placementRef:
   name: placement-pod
   kind: PlacementRule
   apiGroup: apps.open-cluster-management.io
 subjects:
 - name: policy-pod
   kind: Policy
   apiGroup: policy.open-cluster-management.io

 ---
 apiVersion: apps.open-cluster-management.io/v1
 kind: PlacementRule
 metadata:
   name: placement-pod
 spec:
   clusterConditions:
     - type: ManagedClusterConditionAvailable
       status: "True"
   clusterLabels:
     matchLabels:
       cloud: "IBM"

Copy to Clipboard

Toggle word wrap

Create Policy をクリックします。

コンソールからセキュリティーポリシーが作成されました。

2.6.4.1.2.1. コンソールからのセキュリティーポリシーの表示
リンクのコピー

コンソールからセキュリティーポリシーおよびそのステータスを表示できます。

コンソールからクラスターにログインします。
ナビゲーションメニューから Governance をクリックし、ポリシー表の一覧を表示します。
注記: ポリシー表の一覧をフィルタリングするには、Policies タブまたは Cluster violations タブを選択します。
詳細を表示するポリシーを 1 つ選択します。Details タブおよび Status タブが表示されます。
クラスターまたはポリシーのステータスを判断できない場合、No status メッセージが表示されます。

トップに戻る

2.6.4. セキュリティーポリシーの管理

2.6.4.1. セキュリティーポリシーの作成
リンクのコピー

2.6.4.1.1. コマンドラインインターフェースからのセキュリティーポリシーの作成
リンクのコピー

2.6.4.1.1.1. CLI からのセキュリティーポリシーの表示
リンクのコピー

2.6.4.1.2. コンソールからのクラスターセキュリティーポリシーの作成
リンクのコピー

2.6.4.1.2.1. コンソールからのセキュリティーポリシーの表示
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.6.4. セキュリティーポリシーの管理

2.6.4.1. セキュリティーポリシーの作成リンクのコピーリンクがクリップボードにコピーされました!

2.6.4.1.1. コマンドラインインターフェースからのセキュリティーポリシーの作成リンクのコピーリンクがクリップボードにコピーされました!

2.6.4.1.1.1. CLI からのセキュリティーポリシーの表示リンクのコピーリンクがクリップボードにコピーされました!

2.6.4.1.2. コンソールからのクラスターセキュリティーポリシーの作成リンクのコピーリンクがクリップボードにコピーされました!

2.6.4.1.2.1. コンソールからのセキュリティーポリシーの表示リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.6.4.1. セキュリティーポリシーの作成
リンクのコピー

2.6.4.1.1. コマンドラインインターフェースからのセキュリティーポリシーの作成
リンクのコピー

2.6.4.1.1.1. CLI からのセキュリティーポリシーの表示
リンクのコピー

2.6.4.1.2. コンソールからのクラスターセキュリティーポリシーの作成
リンクのコピー

2.6.4.1.2.1. コンソールからのセキュリティーポリシーの表示
リンクのコピー