Описание тега open-policy-agent
Тег open-policy-agent может использоваться, чтобы задать вопросы, касающиеся агента Open Policy Agent, языка Rego или любых его производных (привратник, conftest).
0
ответов
Как проверить, определено ли значение в rego?
Я хочу проверить, определена ли переменная в политике OPA. > subject 1 error occurred: 1:1: rego_unsafe_var_error: var subject is unsafe Есть ли функция, чтобы проверить, определена ли переменная
01 мар '19 в 04:22
1
ответ
Как создать имя пользователя и пароль для контейнеров ИЛИ как установить пароль внутри контейнера
Поскольку доступ к контейнеру может получить каждый, вставив команду docker ps -a (запуск контейнеров), поэтому необходимо защитить контейнеры. Я хочу создать учетные данные пользователя для доступа к контейнеру. У каждого пользователя должны быть д…
12 мар '19 в 09:29
1
ответ
Можно ли использовать Docker для временного создания тестовой среды?
У меня есть служба node.js, в которой хранятся политики доступа, отправляемые открытой службе агента политики при запуске приложения. Политики могут быть тестами, но для этого их нужно запускать в открытой среде агента политики, которая не является …
13 мар '19 в 08:51
1
ответ
Могу я зациклить ключи и значения объекта в OPA, чтобы проверить, придерживаются ли они определенного формата (CamelCase)
Мы используем conftest для проверки, применяется ли наш набор изменений terraform к определенным правилам и соответствию. Одна вещь, которую мы хотим проверить, заключается в том, помечены ли наши ресурсы AWS в соответствии с соглашением об использо…
19 июн '19 в 11:39
2
ответа
Какова будет политика opa в.rego для следующих примеров?
Я новичок в opa и k8s, у меня мало знаний или опыта в этой области. Я хотел бы иметь политику в коде Rego (opa policy) и выполнить, чтобы увидеть результат. следующие примеры: Всегда извлекать изображения - убедитесь, что каждый контейнер устанавлив…
26 июл '19 в 10:40
0
ответов
Как передать ввод в правило запроса, определяющее заданный документ
В документации OPA есть много примеров генерации наборов / массивов / объектов для запросов, например: app_to_hostnames[app_name] = hostnames { app := apps[_] app_name := app.name hostnames := [hostname | name := app.servers[_] s := sites[_].servers…
20 авг '19 в 22:47
2
ответа
Использование агента открытой политики (OPA) в качестве системы ABAC
У меня есть проект, который требует ABAC для контроля доступа к ресурсам моих проектов. Я рассматривал OPA и authzforce, поскольку варианты реализации ABAC и OPA выглядят так, как будто они могут быть менее сложными, чем authzforce. Я вижу, что OPA …
01 авг '19 в 13:20
1
ответ
ISTIO MIXER ADAPTER - Невозможно заставить OPA-адаптер работать с самым простым примером
Я пытаюсь настроить адаптер OPA в Istio с самым простым правилом, чтобы запретить все по умолчанию: --- apiVersion: "config.istio.io/v1alpha2" kind: authorization metadata: name: authz-instance namespace: istio-demo spec: subject: user: source.uid |…
12 авг '19 в 19:20
0
ответов
Открытое администрирование политик агента политики
Я использую OPA как движок для инфраструктуры авторизации ABAC. В более новых выпусках можно указать службу, предоставляющую пакет с данными и правилами для политик. Я бродил, если есть какой-нибудь проект с открытым исходным кодом, который обращает…
04 июн '19 в 16:28
1
ответ
Как запретить просмотр / получение операции в openshift с помощью открытой политики?
Мы хотим отключить oc get/describe за secrets чтобы предотвратить вход по токену Текущая политика запрещает создание, обновление, удаление, но не просмотр секретов package admission import data.k8s.matches # Deny all user for doing secret ops except…
14 дек '19 в 06:21
0
ответов
Как развернуть адаптер OPA(агент открытой политики) в кластере minikube (локально)
https://github.com/istio/istio/tree/master/mixer/adapter/opa Я развернул образец приложения bookinfo и хочу реализовать политику с помощью OPA. а также установите эту конфигурацию - apiVersion: "config.istio.io/v1alpha2" kind: handler metadata: name…
26 ноя '19 в 10:48
1
ответ
Невозможно запросить ресурсы с помощью http.send
Когда я запускаю следующий код: data := response { response := http.send({ "method" : "GET", "url": "https://httpbin.org/status/200" }) } Я получаю такую ошибку: Произошла 1 ошибка: policy.rego:4: rego_type_error: небезопасные вызовы встроенных фу…
27 май '20 в 19:05
1
ответ
Поддержка механизма OPA для одновременных вызовов
Сколько одновременных вызовов REST Put/Patch может поддерживать механизм OPA для обновления политики / данных? Я попытался просмотреть документацию, но не смог найти никакой информации по этому поводу.
12 авг '20 в 17:24
2
ответа
Используйте rego для сравнения значений до и после из списка входов
Когда я запускаю следующее, я могу сравнить значения параметра instance_class и подсчитать количество расхождений: modifies_instance_class[resource_type] = num { some resource_type resource_types[resource_type] all := resources[resource_type] modifi…
03 янв '20 в 16:20
2
ответа
Как установить RBAC в этом values.yaml?
Внутри файла values.yaml на OPA графике я должен активировать RBAC, используя следующий раздел: # NOTE IF you use these, remember to update the RBAC rules below to allow # permissions to get, list, watch, patch and update configmaps enabled: false n…
19 сен '19 в 11:35
2
ответа
ИЛИ в Open Policy Agent (профсоюзное поведение)
В OPA ясно, как запрашивать condition AND condition: values := { "value1": { "a": "one" }, "value2": { "a": "one", "b": "two" }, "value3": { "a": "one", "b": "one" } } goodValues = [name | value = values[name] value.a == "one" value.b == "one" ] Так…
10 окт '19 в 04:28
1
ответ
Ограничьте OPA Rego одним правилом
Если у меня есть такое правило: (детская площадка) package play rule[message] { max_index := count(input)-1 some i index_a = i index_b = (max_index-i) point_a := input[index_a] point_b := input[index_b] point_a != point_b message := sprintf("%d (%s)…
17 ноя '19 в 00:44
1
ответ
Как отфильтровать запрос аутентификации перед пересылкой на сервер аутентификации?
Нам нужно отключить вход через токен учетной записи службы. Мы думали создать веб-перехватчик для события входа в систему и перенаправить его в opa, opa проверит, использует ли запрос входа в систему токен. Если это так, он выдает ошибку, если это т…
06 дек '19 в 07:30
1
ответ
Как я могу проверить нарушения?
Тесты, на которые я наткнулся, похоже, во многом повторяют те же самые. Я ищу нарушения с Привратником. Например, эта политика шаблона ограничений будет проверять репо, из которого пришел контейнер: package k8sallowedrepos violation[{"msg": msg}] { …
10 дек '19 в 22:52
2
ответа
Ограничения привратника /OPA для подмножества пространств имен без использования меток
Я использую привратник /OPA для создания ограничений для различных служб, которые я выполняю в определенных пространствах имен. Для этого я полагаюсь на namespaceSelectors, чтобы сопоставить ограничение только с набором пространств имен. Мой процесс…
01 янв '20 в 21:41