如何控制/清理開放策略代理 (OPA) 響應
[英]how to control/sanitise Open Policy Agent (OPA) response
我有以下政策工作得很好,但它的反應感覺有點臟。 我只對allow和permissions鍵感興趣。 當我使用以下輸入時:{"user": "b"} 回應是{ "allow": true, "approve": false, "permissions": { ...
OPA 政策,如果 kustomize.toolkit.fluxcd.io/reconcile: disabled label 存在於 helm release yaml 中,它應該顯示一條消息
[英]OPA policy where if kustomize.toolkit.fluxcd.io/reconcile: disabled label is present in helm release yaml it should display a message
是他們的任何 OPA 策略示例,我可以設計一個 OPA 策略,比如如果存在特定的 label,它應該顯示消息或警告我的意思是我想設計一個 OPA 策略,如果 kustomize.toolkit.fluxcd.io/reconcile: disabled label存在於 helm 版本 yaml 它 ...
循環遍歷 OPA 中的嵌套 json 對象
[英]Loop through a nested json object in OPA
我對 OPA 很陌生,正在嘗試遍歷以下輸入數據 並根據該輸入返回兩個列表,一個列表將返回狀態為“完成”的所有對象的名稱,另一個列表的狀態不等於“完成”,這是我嘗試的 rego 代碼,我使用有點 python 語法來傳達代碼,因為我不確定 opa 語法的樣子 我正在尋找的輸出類似於 任何幫助是極大的贊 ...
K8s OPA Gatekeeper 不阻止 DELETE 操作
[英]K8s OPA Gatekeeper doesn't block DELETE operation
我正在使用 K8s OPA 來執行策略。 從官方文檔調試部分 ( https://open-policy-agent.github.io/gatekeeper/website/docs/debug ),我創建了 constraintTemplate,如下所示。 我還在下面創建了約束。 我認為所有關於 ...
OPA Gatekeeper 使用路徑作為變量?
[英]OPA Gatekeeper use path as variable?
我正在將 OPA Gatekeeper 與 Kube.netes 一起使用,並且正在嘗試定義一個模板和一個約束,以阻止具有某些字段的請求。 我這樣做的方法是阻止模板中該字段的路徑,但是我似乎在設置此設置時遇到了一些問題。 我的模板如下: 而約束是: 部署約束錯誤: body 中的 spec.pa ...
Rego - 將來自 json 的區分大小寫鍵的值(如 abc、ABc)組合為單個小寫鍵 abc
[英]Rego - Combine Values of Case Sensitive Keys from json like abc, ABc to single lowercase key abc
我將 json 作為輸入: 我想要這樣的結果: 即不區分大小寫的鍵和值作為列表或逗號分隔的字符串。 對於下面的代碼塊,它給出了類似的錯誤 policy.rego:3: eval_conflict_error: object 密鑰必須是唯一的 這是一個 rego 游樂場鏈接。 我真的是 rego 的 ...
OPA 中有沒有辦法只評估與特定請求相關的策略?
[英]Is there a way in OPA to only evaluate policies relevant to certain request?
我正在試驗 OPA 並保護 HTTP REST API。我想實施 ABAC 授權。 我的問題是,是否有可能以僅評估與請求相關的規則的方式創建規則——XACML 中的一種 Target 元素考慮兩個策略: 以及決定請求: 我得到了什么: 我想得到什么: 在此示例中,決策請求僅包含與實體策略相關的數據 ...
找出 OPA 從 api-server 獲取的請求是什么?
[英]Find out what is OPA getting as request from api-server?
我們在 Kube.netes 集群中安裝了 OPA。 不是看門人。 “原始”OPA... 我不明白如何查看 OPA 從 API 服務器接收到的輸入請求? => 如果我確切地知道有效負載是什么樣子,那么編寫 Rego 就會很簡單。 我嘗試在kubectl中使用-v=8選項來查看來自 api ...
Docker 構建成功后運行失敗並出現語法錯誤
[英]Docker run failing with syntax error after build successful
我在 mac 系統中本地構建了 docker 圖像,然后當我嘗試運行 docker 時出現以下錯誤。 我嘗試了以下兩個選項。 Docker 構建命令 docker 構建-t opaservice。 Docker 運行命令我正在執行 docker 運行 opaservice 錯誤消息已記錄。/op ...
Dockerfile 沒有這樣的文件或目錄 OPA 拋出錯誤
[英]Dockerfile with No such file or directory OPA throwing error
我正在嘗試在我的本地運行 dockerfile,但出現以下錯誤,我不確定為什么會這樣。 我將權限設置為 chmod 777,仍然出現錯誤。 我收到的錯誤消息如下 我嘗試按照列出的步驟進行操作, https://aws.amazon.com/blogs/opensource/deploying-ope ...
重新檢查 env 值文件
[英]Rego check env values file
我是 Rego 的新人。 我有 helm 模板的值文件,想檢查全局部分中的所有環境(envmap 或 envNginxSocket、envPhpSocket 等)是否都在引號中。 例如, REDIS_PORT: 6379 - 值不能沒有引號。 這是我的值文件 我的計划輸入全局部分僅過濾環境* 檢查值 ...
如何使用 OPA Gatekeeper 更改 GKE 部署?
[英]How to use OPA Gatekeeper to change GKE deployments?
我正在嘗試使用 OPA Gatekeeper 來修改某些 Kubernetes 部署。 在此示例中,我想更改服務帳戶的顯示名稱,而不管用戶提供什么。 到目前為止,我一直在關注這里的文檔: https://open-policy-agent.github.io/gatekeeper/website/ ...
OPA Rego - 如何進行標簽或 label 匹配
[英]OPA Rego - How to do tag or label matching
我有... 標有“必須匹配”標簽的任務列表。 用標簽標記的用戶。 現在我只想過濾與所有任務標簽與用戶標簽匹配的任務(用戶可能有額外的標簽)。 什么是超越 output 的正確 rego?,感謝輸入。 ...
如何在 OPA rego 策略中導入不同的策略?
[英]How to import different policies inside OPA rego policy?
我正在編寫新的 rego 政策。 我在單個策略文件中定義了一些規則,我想將其分解為子策略並導入它。 像這樣的東西: 雷戈 B.rego 如何實現這個策略配置? 這就像從具有多個子策略的 authzforce 實現 policySet。 提前致謝! 請原諒我對 OPA 的了解 ...
OPA:屏蔽敏感數據
[英]OPA: Mask sensitive data
我想在我的開放策略代理 (OPA) 日志中隱藏密碼。 這是我的輸入數據: 我的 OPA 掩碼規則: 但是當 OPA 檢查請求時,敏感數據不會被新文本屏蔽。 任何想法?! 我檢查了 The Rego Playground ( https://play.openpolicyagent.org ) 中的規 ...
rego 檢查列表中的項目是否存在於另一個列表中的項目中
[英]rego check if item in list exists in item in another list
我們有一個資源中需要檢查的項目列表,以防它們使用已棄用的給定參數之一。 在 Gatekeeper 中,帶有參數的約束如下所示:apiVersion: constraints.gatekeeper.sh/v1beta1 kind: SOMEKind metadata: name: somename ...
Rego 腳本如何調用 shell 腳本?
[英]How can a Rego script call a shell script?
我想從 Rego 腳本中調用 shell 腳本。 我該怎么做? rego 內置函數似乎沒有幫助。 ...
OPA/Rego:確保 Helm chart 中的每一個 Service 都有一個匹配的 Pod
[英]OPA/Rego: Ensure that every Service in Helm chart has exactly one matching Pod
我想檢查渲染的 Helm 圖表中的每個服務是否都有一個匹配的Pod 。 當服務規范選擇spec.selector中指定的每個條目都反映在 Pod metadata.labels中時,存在 Pod 到服務關聯。 以下策略使用 Conftest 通過運行conftest test --combine ...
OPA 網守:可以在入口更新時檢查網絡策略嗎?
[英]OPA Gatekeeper: possible to check for Network Policies on Ingress Update?
我想確保在創建/更新 Ingress 時存在網絡策略。 CertManager 在創建 Ingress 時生成一個 Pod 以獲取 URL 的 ACME 證書,如果未定義 NetworkPolicy 則失敗。 遺憾的是,我還沒有找到一種方法來訪問創建 Ingress 的命名空間的網絡策略。 ...
Open Policy Agent 中存儲的數據/策略在哪里?
[英]Where is the data/policy stored in Open Policy Agent?
我嘗試實現 OPA 的HTTPS API部分。 我能夠發送 PUT & GET 請求並成功接收響應。 然后我瀏覽了容器的外殼,但無法找到數據/策略的確切存儲位置。 OPA 中存儲的數據/策略在哪里? ...