Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Esta é uma documentação não divulgada para Admission Controller 1.34-dev.

Configurações de política

O comportamento da política não é rígido, você pode configurá-lo fornecendo detalhes de configuração à política em runtime. O autor da política tem a liberdade de definir a estrutura das configurações da política.

SUSE Security Admission Controller cuida de serializar as configurações da política em JSON e as fornece à política sempre que é invocada.

Validação de configurações

As políticas devem validar as configurações que um usuário fornece para verificar a correção.

Cada política registra uma função waPC chamada validate_settings que valida as configurações da política.

A função validate_settings recebe como entrada uma representação JSON das configurações fornecidas pelo usuário. Essa função as valida e retorna como resposta um objeto SettingsValidationResponse.

A estrutura do objeto SettingsValidationResponse é:

{
  # mandatory
  "valid": <boolean>,

  # optional, ignored if accepted - recommended for rejections
  "message": <string>,
}

Se as configurações fornecidas pelo usuário forem valid, validate_settings ignora os conteúdos de message. Caso contrário, validate_settings exibe os conteúdos de message.

O policy-server de Admission Controller valida todas as configurações de política fornecidas pelos usuários no momento da inicialização. O servidor de política fecha imediatamente com um erro se pelo menos uma de suas políticas recebeu parâmetros de configuração incorretos.

Exemplo

Como exemplo, considere a política psp-capabilities que tem o seguinte formato de configuração:

allowed_capabilities:
- CHOWN

required_drop_capabilities:
- NET_ADMIN

default_add_capabilities:
- KILL

A função validate_settings recebe como entrada o seguinte documento JSON:

{
  "allowed_capabilities": [
    "CHOWN"
  ],
  "required_drop_capabilities": [
    "NET_ADMIN"
  ],
  "default_add_capabilities": [
    "KILL"
  ]
}

Recapitulação

Cada política deve registrar uma função waPC, validate_settings.