Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第3章 Compliance Operator の使用

3.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用する

Compliance Operator を使用して、OpenShift Container Platform クラスターでコンプライアンスのレポートと修正を行うように RHACS を設定できます。Compliance Operator からの結果は、RHACS Compliance Dashboard で報告できます。

3.1.1. Compliance Operator のインストール

Operator Hub を使用して Compliance Operator をインストールします。

手順

以下の手順を実行して、Operator をインストールします。

  1. Web コンソールで、Operators OperatorHub ページに移動します。
  2. compliance operatorFilter by keyword ボックスに入力して、Compliance Operator を検索します。
  3. Compliance Operator を選択して、詳細ページを表示します。
  4. Operator に関する情報を読み、Install をクリックします。

3.1.2. ScanSettingBinding オブジェクトの設定

openshift-compliance namespace で ScanSettingBinding オブジェクトを作成し、cis および cis-node プロファイルを使用してクラスターをスキャンします。

注記

この例では cis プロファイルおよび cis-node プロファイルを使用しますが、OpenShift Container Platform は追加のプロファイルを提供します。詳細は、関連情報セクションの「コンプライアンスオペレーターについて」を参照してください。

手順

以下のオプションのいずれかを選択します。

  • CLI を使用して、YAML ファイルとオブジェクトを作成します。以下に例を示します。

    1. 次のテキストを使用して、sscan.yaml という名前のファイルを作成します。 

      apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1

    2. 次のコマンドを実行して、ScanSettingBinding オブジェクトを作成します。 

      $ oc create -f sscan.yaml -n openshift-compliance

      成功すると、次のメッセージが表示されます。 

      $ scansettingbinding.compliance.openshift.io/cis-compliance created

  • Web コンソールを使用して、次の手順を実行してオブジェクトを作成します。

    1. アクティブなプロジェクトを openshift-compliance に変更します。
    2. + をクリックして、Import YAML ページを開きます。
    3. 前の例の YAML を貼り付けて、Create をクリックします。

関連情報

オプション: RHACS のインストール に Compliance Operator をインストールした場合は、次のオプションのいずれかを実行して、セキュアなクラスターで Sensor を再起動します。

  • 以下のコマンドを実行します。 

    $ oc -n stackrox delete pod -lapp=sensor

  • OpenShift Container Platform Web コンソールで、以下の手順を実行します。

    1. アクティブなプロジェクトを stackrox に変更します。
    2. Workloads Pods に移動します。
    3. 名前が sensor- で始まる Pod を見つけて、Actions Delete Pod をクリックします。

検証

これらの手順を実行した後、RHACS でコンプライアンススキャンを実行し、ocp4-cis および ocp4-cis-node の結果が表示されることを確認します。詳細は、関連情報セクションのコンプライアンススキャンの実行を参照してください。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.