2.2.2. 策略 YAML 表

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1。

kind

必需。将值设为 Policy 以表示策略类型。

metadata.name

必需。用于标识策略资源的名称。

metadata.annotations

可选。用于指定一组描述策略试图验证的标准集合的安全详情。这里介绍的所有注解都以逗号分隔的字符串表示。注:您可以从控制台根据您在策略页面上为策略定义的标准和类别查看 策略 违反情况。

annotations.policy.open-cluster-management.io/standards

与策略相关的安全标准的名称。例如，美国国家标准与技术研究院 (NIST) 和支付卡行业 (PCI)。

annotations.policy.open-cluster-management.io/categories

安全控制类别是针对一个或多个标准的具体要求。例如，系统和信息完整性类别可能表明您的策略包含一个数据传输协议来保护个人信息，符合 HIPAA 和 PCI 标准的要求。

annotations.policy.open-cluster-management.io/controls

正在接受检查的安全控制名称。例如，证书策略控制器。

spec.policy-templates

必需。用于创建一个或多个应用到受管集群的策略。

spec.disabled

必需。将值设为 true 或 false。disabled 参数提供启用和禁用策略的功能。

spec.remediationAction

可选。指定您的策略的修复。参数值是 enforce 和 inform。如果指定，定义的 spec.remediationAction 值会覆盖子策略中定义的 remediationAction 参数，从 policy-templates 部分。例如，如果将 spec.remediationAction 值部分设定为 enforce，那么 policy-templates 部分中的 remediationAction 会在运行时被设置为 enforce。重要：有些策略可能不支持 enforce 功能。