kwctl CLI

annotate — WebAssembly モジュールに Admission Controller メタデータを追加します。

bench — Admission Controller ポリシーのベンチマークを実行します。

completions — シェルの補完を生成します。

digest — ポリシーの OCI マニフェストからダイジェストを取得します。

docs — kwctl コマンドのマークダウンドキュメントを生成します。

info — システム情報を表示します。

inspect — Admission Controller ポリシーを検査します。

load — tar.gz ファイルからポリシーを読み込みます。

policies — ダウンロードしたすべてのポリシーをリストします。

pull — 指定された URI から Admission Controller ポリシーを取得します。

push — OCI レジストリに Admission Controller ポリシーをプッシュします。

rm — ストアから Admission Controller ポリシーを削除します。

run — 指定された URI から Admission Controller ポリシーを実行します

save — ポリシーを tar.gz ファイルに保存します

scaffold — Kubernetes リソースまたは設定ファイルを作成します。

verify — Sigstore を使用して指定された URI から Admission Controller ポリシーを検証します

-v, --verbose <VERBOSE> — 詳細度を上げます

--no-color <NO-COLOR> — カラフルな出力を無効にします

<WASM-PATH> — 注釈を付ける WebAssembly モジュールへのパス

-m, --metadata-path <PATH> — メタデータを含むファイル

-o, --output-path <PATH> — 出力ファイル

-u, --usage-path <PATH> — ポリシーの使用情報を含むファイル

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — ポリシーのURI、SHA プレフィックス、またはAdmission Controllerポリシーリソースを含むYAMLファイル。サポートされているスキーム: registry://, https://, file://。スキーマが省略された場合、file:// が仮定され、現在のディレクトリをルートとして扱われます。

--allow-context-aware <ALLOW-CONTEXT-AWARE> — ポリシーの contextAwareResources セクション内で定義された Kubernetes リソースへのアクセスを付与します。警告: 悪用を避けるためにリソースのリストを慎重に確認してください。デフォルトでは無効になっています。

--cert-email <VALUE> — Fulcio証明書に期待されるメールアドレス。

--cert-oidc-issuer <VALUE> — Fulcio証明書に期待されるOIDC発行者。

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — wasmtimeキャッシュの使用を無効にします。

--docker-config-json-path <PATH> — Docker の 'config.json' ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

--dump-results-to-disk <DUMP_RESULTS_TO_DISK> — targetが見つかれば、結果をtarget/tiny-bench/label/..に配置します。以前の実行と比較するために使用されます。

-e, --execution-mode <MODE> — このポリシーを実行するために使用するランタイム。
指定可能な値: opa, gatekeeper, kubewarden, wasi。

--github-owner <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubオーナー。

--github-repo <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubリポジトリ。

--measurement-time <SECONDS> — ベンチマークが「実行されるべき」時間、num_samplesが優先されるため、ベンチマークがこの時間制限よりも遅い場合、num_samplesを収集するためにベンチマークが長くなります。

--num-resamples <NUM> — いくつの再サンプリングを行うべきか。

--num-samples <NUM> — いくつの再サンプリングを行うべきか。推奨は少なくとも50、100を超えると有意に異なる結果は得られないようです。

--raw <RAW> — 生のリクエストを検証する
デフォルト値：false

--record-host-capabilities-interactions <FILE> — 指定されたファイルにポリシーとホストの能力に関する通信をすべて記録します。後で '--replay-host-capabilities-interactions' フラグと組み合わせるのに便利です。

--replay-host-capabilities-interactions <FILE> — ポリシーとホストの能力の交換中に、ホストは提供されたファイル内に見つかった回答を再送信します。これは、OCI レジストリ、DNS、Kubernetes との外部インタラクションが行われないことを前提に、ポリシーを再現可能な方法でテストするのに役立ちます。

-r, --request-path <PATH> — JSON 形式の Kubernetes Admission リクエストオブジェクトを含むファイル

--settings-json <VALUE> — このポリシーの設定を含む JSON 文字列

-s, --settings-path <PATH> — このポリシーの設定を含むファイル

--sigstore-trust-config <PATH> — Sigstore protobuf 仕様の ClientTrustConfig メッセージに準拠した JSON 形式のファイル。このファイルは、CA およびアーティファクトの透明性サービスにアクセスするために使用される URI や、信頼の根となる暗号的なルートを含む、Sigstore インスタンス全体の状態を構成します。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA …​)

-a, --verification-annotation <KEY=VALUE> — key=value 形式の注釈。複数回繰り返すことができます。

--verification-config-path <PATH> — 署名、公開鍵 …​ に関する検証設定情報を保持する YAML ファイル。

-k, --verification-key <PATH> — ポリシーを検証するために使用される鍵へのパス。複数回繰り返すことができます。

--warm-up-time <SECONDS> — ベンチがウォームアップする時間

-s, --shell <VALUE> — シェルタイプ
指定可能な値：bash, elvish, fish, powershell, zsh

<URI> — ポリシー URI

--docker-config-json-path <PATH> — Docker の 'config.json' ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA …​)

-o, --output <FILE> — ドキュメントファイルが保存されるパス

<URI_OR_SHA_PREFIX> — ポリシー URI または SHA プレフィックス。サポートされているスキーム：registry://, https://, file://。スキーマが省略された場合、file://が仮定され、現在のディレクトリを基準とします。

--docker-config-json-path <PATH> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

-o, --output <FORMAT> — 出力形式
指定可能な値: yaml

--show-signatures <SHOW-SIGNATURES> — sigstore署名を表示します

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA…​)

--input <INPUT> — tarballからポリシーを読み込みます

<URI> — ポリシーURI。サポートされているスキーム: registry://, https://, file://

--cert-email <VALUE> — Fulcio証明書に期待されるメールアドレス

--cert-oidc-issuer <VALUE> — Fulcio証明書に期待されるOIDC発行者

--docker-config-json-path <DOCKER_CONFIG> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

--github-owner <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubオーナー

--github-repo <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubリポジトリ

-o, --output-path <PATH> — 出力ファイル。提供されていない場合はAdmission Controllerストアにダウンロードされます

--sigstore-trust-config <PATH> — Sigstore protobuf 仕様の ClientTrustConfig メッセージに準拠した JSON 形式のファイル。このファイルは、CA およびアーティファクトの透明性サービスにアクセスするために使用される URI や、信頼の根となる暗号的なルートを含む、Sigstore インスタンス全体の状態を構成します。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA…​)

-a, --verification-annotation <KEY=VALUE> — key=value 形式の注釈。複数回繰り返すことができます。

--verification-config-path <PATH> — 署名、公開鍵…​に関する検証設定情報を保持する YAML ファイル。

-k, --verification-key <PATH> — ポリシーを検証するために使用される鍵へのパス。複数回繰り返すことができます。

<POLICY> — プッシュするポリシー。ローカルファイルへのパス、ポリシーURI、またはストア内のポリシーのSHAプレフィックスである可能性があります。

<URI> — ポリシーURI。サポートされているスキーム：registry://

--docker-config-json-path <PATH> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

-f、--force <FORCE> — 注釈が付いていないポリシーもプッシュします。

-o, --output <PATH> — 出力形式
［デフォルト値］:`text`
指定可能な値：text、json

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA…​)

<URI_OR_SHA_PREFIX> — ポリシーURIまたはSHAプレフィックス

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — ポリシーのURI、SHAプレフィックス、またはAdmission Controllerポリシーリソースを含むYAMLファイル。サポートされているスキーム: registry://, https://, file://。スキーマが省略された場合、file://が仮定され、現在のディレクトリがルートになります。

--allow-context-aware <ALLOW-CONTEXT-AWARE> — ポリシーの`contextAwareResources`セクション内で定義されたKubernetesリソースへのアクセスを付与します。警告: 悪用を避けるためにリソースのリストを慎重に確認してください。デフォルトでは無効になっています。

--cert-email <VALUE> — Fulcio証明書に期待されるメールアドレス

--cert-oidc-issuer <VALUE> — Fulcio証明書に期待されるOIDC発行者

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — wasmtimeキャッシュの使用を無効にします。

--docker-config-json-path <PATH> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

-e, --execution-mode <MODE> — このポリシーを実行するために使用するランタイム
指定可能な値: opa, gatekeeper, kubewarden, wasi

--github-owner <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubオーナー

--github-repo <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubリポジトリ

--raw <RAW> — 生のリクエストを検証する
デフォルト値: false

--record-host-capabilities-interactions <FILE> — 指定されたファイルにポリシーとホストの能力に関する通信をすべて記録します。後で '--replay-host-capabilities-interactions' フラグと組み合わせるのに便利です。

--replay-host-capabilities-interactions <FILE> — ポリシーとホストの能力の交換中に、ホストは提供されたファイル内に記録された回答を再生します。これは、OCI レジストリ、DNS、Kubernetes との外部インタラクションが行われないことを前提に、ポリシーを再現可能な方法でテストするのに役立ちます。

-r, --request-path <PATH> — JSON 形式の Kubernetes 入場リクエストオブジェクトを含むファイル

--settings-json <VALUE> — このポリシーの設定を含む JSON 文字列

-s, --settings-path <PATH> — このポリシーの設定を含むファイル

--sigstore-trust-config <PATH> — Sigstore protobuf 仕様の ClientTrustConfig メッセージに準拠した JSON 形式のファイル。このファイルは、CA およびアーティファクトの透明性サービスにアクセスするために使用される URI や、信頼の根となる暗号的なルートを含む、Sigstore インスタンス全体の状態を構成します。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA…​)

-a, --verification-annotation <KEY=VALUE> — key=value 形式の注釈。複数回繰り返すことができます。

--verification-config-path <PATH> — 署名、公開鍵…​に関する検証設定情報を保持する YAML ファイル。

-k, --verification-key <PATH> — ポリシーを検証するために使用される鍵へのパス。複数回繰り返すことができます。

<POLICIES> — 保存するポリシーのリスト

-o、--output <FILE> — ファイルが保存されるパス

admission-request — AdmissionRequestオブジェクトをスキャフォールドします。

artifacthub — metadata.ymlファイルからartifacthub-pkg.ymlファイルを出力します。

manifest — Kubernetesリソースマニフェストを出力します。

vap — Kubernetes `ValidatingAdmissionPolicy`をAdmission Controller `ClusterAdmissionPolicy`に変換します。

verification-config — デフォルトのSigstore検証設定ファイルを出力します。

--object <PATH> — 新しいオブジェクトが含まれているファイル

--old-object <PATH> — 既存のオブジェクトが含まれているファイル

-o, --operation <TYPE> — Admission Controller カスタムリソースタイプ
指定可能な値: CREATE

-m, --metadata-path <PATH> — ポリシーのメタデータを含むファイル

-o, --output <FILE> — artifact-pkg.ymlファイルが保存されるパス

-q, --questions-path <PATH> — ポリシーのquestions-uiコンテンツを含むファイル

-v, --version <VALUE> — ポリシーのSemverバージョン

<URI_OR_SHA_PREFIX> — ポリシーURIまたはSHAプレフィックス。サポートされているスキーム: registry://, https://, file://。スキーマが省略された場合、file://が仮定され、現在のディレクトリにルートされます。

--allow-context-aware <ALLOW-CONTEXT-AWARE> — ポリシーによってアクセスできるKubernetesリソースを定義するためにポリシーメタデータを使用します。警告: 悪用を避けるためにリソースのリストを慎重に確認してください。デフォルトでは無効になっています。

--cert-email <VALUE> — Fulcio証明書に期待されるメールアドレス

--cert-oidc-issuer <VALUE> — Fulcio証明書に期待されるOIDC発行者

--docker-config-json-path <DOCKER_CONFIG> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリアクセス認証の詳細を示すために使用できます。

--fulcio-cert-path <PATH> — Fulcio証明書へのパス。複数回繰り返すことができます。

--github-owner <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubオーナー

--github-repo <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubリポジトリ

--rekor-public-key-path <PATH> — Rekor公開鍵へのパス。複数回繰り返すことができます。

このポリシーの設定を含むJSON文字列

-s, --settings-path <PATH> — このポリシーの設定を含むファイル

--sigstore-trust-config <PATH> — Sigstore protobuf 仕様の ClientTrustConfig メッセージに準拠した JSON 形式のファイル。このファイルは、CA およびアーティファクトの透明性サービスにアクセスするために使用されるURIや、暗号的な信頼のルートを含むSigstoreインスタンス全体の状態を構成します。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA の…​)

--title <VALUE> — ポリシータイトル

-t, --type <VALUE> — Admission Controller カスタムリソースタイプ
指定可能な値：ClusterAdmissionPolicy、AdmissionPolicy

-a, --verification-annotation <KEY=VALUE> — key=value 形式の注釈。複数回繰り返すことができます。

--verification-config-path <PATH> — 署名、公開鍵…​に関する検証設定情報を保持する YAML ファイル。

-k, --verification-key <PATH> — ポリシーを検証するために使用される鍵へのパス。複数回繰り返すことができます。

-b, --binding <VALIDATING-ADMISSION-POLICY-BINDING.yaml> — ValidatingAdmissionPolicyBinding定義を含むファイル

--cel-policy <URI> — 使用するCELポリシーモジュール
デフォルト値: ghcr.io/kubewarden/policies/cel-policy:latest

-p, --policy <VALIDATING-ADMISSION-POLICY.yaml> — ValidatingAdmissionPolicy定義を含むファイル

<URI> — ポリシーURI。サポートされているスキーム：registry://

--cert-email <VALUE> — Fulcio証明書に期待されるメールアドレス

--cert-oidc-issuer <VALUE> — Fulcio証明書に期待されるOIDC発行者

--docker-config-json-path <PATH> — Dockerの’config.json’ファイルを含むディレクトリへのパス。レジストリ認証の詳細を示すために使用できます。

--github-owner <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubオーナー

--github-repo <VALUE> — CDパイプラインで生成された証明書に期待されるGitHubリポジトリ

Sigstore protobuf 仕様の ClientTrustConfig メッセージに準拠したJSON形式のファイル。このファイルは、CA およびアーティファクトの透明性サービスにアクセスするために使用される URI や、信頼の根となる暗号的なルートを含む、Sigstore インスタンス全体の状態を構成します。

--sources-path <PATH> — ソース情報を保持する YAML ファイル (https、レジストリの不正なホスト、カスタム CA の…​)

-a, --verification-annotation <KEY=VALUE> — key=value 形式の注釈。複数回繰り返すことができます。

--verification-config-path <PATH> — 署名、公開鍵…​に関する検証設定情報を保持する YAML ファイル。

-k, --verification-key <PATH> — ポリシーを検証するために使用される鍵へのパス。複数回繰り返すことができます。