|
Esta é uma documentação não divulgada para Admission Controller 1.37-dev. |
Configurações de política
O comportamento da política não é rígido, você pode configurá-lo fornecendo detalhes de configuração à política em runtime. O autor da política tem a liberdade de definir a estrutura das configurações da política.
SUSE Security Admission Controller cuida de serializar as configurações da política em JSON e as fornece à política sempre que é invocada.
Validação de configurações
As políticas devem validar as configurações que um usuário fornece para verificar a correção.
Cada política registra uma função waPC chamada validate_settings que valida as configurações da política.
A função validate_settings recebe como entrada uma representação JSON das configurações fornecidas pelo usuário. Essa função as valida e retorna como resposta um objeto SettingsValidationResponse.
A estrutura do objeto SettingsValidationResponse é:
{
# mandatory
"valid": <boolean>,
# optional, ignored if accepted - recommended for rejections
"message": <string>,
}Se as configurações fornecidas pelo usuário forem valid, validate_settings ignora os conteúdos de message. Caso contrário, validate_settings exibe os conteúdos de message.
|
O policy-server de Admission Controller valida todas as configurações de política fornecidas pelos usuários no momento da inicialização. O servidor de política fecha imediatamente com um erro se pelo menos uma de suas políticas recebeu parâmetros de configuração incorretos. |
Exemplo
Como exemplo, considere a política psp-capabilities que tem o seguinte formato de configuração:
allowed_capabilities:
- CHOWN
required_drop_capabilities:
- NET_ADMIN
default_add_capabilities:
- KILLA função validate_settings recebe como entrada o seguinte documento JSON:
{
"allowed_capabilities": [
"CHOWN"
],
"required_drop_capabilities": [
"NET_ADMIN"
],
"default_add_capabilities": [
"KILL"
]
}