GetPolicyMitreVectors - PolicyService | API 参考 | Red Hat Advanced Cluster Security for Kubernetes 4.6

GET /v1/policies/{id}/mitrevectors

GetMitreVectorsForPolicy 返回根据 ID 请求的策略。

描述

参数

路径参数

名称	描述	必填	默认值	模式
id		是	空

名称

描述

必填

默认值

模式

是

空

查询参数

名称	描述	必填	默认值	模式
options.excludePolicy	如果设置为 true，则策略将从响应中排除。	-	空

名称

描述

必填

默认值

模式

options.excludePolicy

如果设置为 true，则策略将从响应中排除。

空

返回类型

V1GetPolicyMitreVectorsResponse

内容类型

application/json

响应

表 1. HTTP 响应代码
代码	消息	数据类型
200	成功的响应。	V1GetPolicyMitreVectorsResponse
0	意外的错误响应。	GooglerpcStatus

示例

常用对象引用

GooglerpcStatus

字段名称

必填

可空

类型

描述

格式

code

整数

int32

message

字符串

details

ProtobufAny 列表

PolicyMitreAttackVectors

字段名称必填可空类型描述格式

tactic

字符串

techniques

string 列表

ProtobufAny

Any 包含任意序列化的 Protocol Buffer 消息以及描述序列化消息类型的 URL。

Protobuf 库提供支持，以实用函数或 Any 类型的附加生成方法的形式打包/解包 Any 值。

示例 1：在 C++ 中打包和解包消息。

Foo foo = ...;
Any any;
any.PackFrom(foo);
...
if (any.UnpackTo(&foo)) {
  ...
}

示例 2：在 Java 中打包和解包消息。

Foo foo = ...;
Any any = Any.pack(foo);
...
if (any.is(Foo.class)) {
  foo = any.unpack(Foo.class);
}
// or ...
if (any.isSameTypeAs(Foo.getDefaultInstance())) {
  foo = any.unpack(Foo.getDefaultInstance());
}

Example 3: Pack and unpack a message in Python.

foo = Foo(...)
any = Any()
any.Pack(foo)
...
if any.Is(Foo.DESCRIPTOR):
  any.Unpack(foo)
  ...

Example 4: Pack and unpack a message in Go

foo := &pb.Foo{...}
any, err := anypb.New(foo)
if err != nil {
  ...
}
...
foo := &pb.Foo{}
if err := any.UnmarshalTo(foo); err != nil {
  ...
}

Protobuf 库提供的打包方法默认使用“type.googleapis.com/full.type.name”作为类型 URL，解包方法只使用类型 URL 中最后一个“/”之后的全限定类型名称，例如“foo.bar.com/x/y.z”将产生类型名称“y.z”。

JSON 表示

Any 值的 JSON 表示使用反序列化的嵌入式消息的常规表示，并添加一个包含类型 URL 的附加字段@type。示例

package google.profile;
message Person {
  string first_name = 1;
  string last_name = 2;
}

{
  "@type": "type.googleapis.com/google.profile.Person",
  "firstName": <string>,
  "lastName": <string>
}

如果嵌入式消息类型是众所周知的并且具有自定义 JSON 表示，则该表示将被嵌入，并添加一个value字段，该字段除了@type字段外还包含自定义 JSON。示例（对于消息[google.protobuf.Duration][]）

{
  "@type": "type.googleapis.com/google.protobuf.Duration",
  "value": "1.212s"
}

字段名称必填可空类型描述格式

字段名称	必填	可空	类型	描述	格式
@type			字符串	唯一标识序列化 Protocol Buffer 消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一个段必须表示类型的全限定名称（如`path/google.protobuf.Duration`）。名称应采用规范形式（例如，不接受前导“.”）。在实践中，团队通常会预编译他们期望在 Any 上下文中使用的所有类型到二进制文件中。但是，对于使用方案`http`、`https`或无方案的 URL，可以选择设置一个类型服务器，该服务器将类型 URL 映射到消息定义，如下所示：* 如果没有提供方案，则假定为`https`。* 对 URL 的 HTTP GET 必须生成二进制格式的[google.protobuf.Type][]值，或产生错误。* 应用程序可以根据 URL 缓存查找结果，或将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保持二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能当前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。除了`http`、`https`（或空方案）之外的方案可能会与特定于实现的语义一起使用。

@type

字符串

唯一标识序列化 Protocol Buffer 消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一个段必须表示类型的全限定名称（如path/google.protobuf.Duration）。名称应采用规范形式（例如，不接受前导“.”）。在实践中，团队通常会预编译他们期望在 Any 上下文中使用的所有类型到二进制文件中。但是，对于使用方案http、https或无方案的 URL，可以选择设置一个类型服务器，该服务器将类型 URL 映射到消息定义，如下所示：* 如果没有提供方案，则假定为https。* 对 URL 的 HTTP GET 必须生成二进制格式的[google.protobuf.Type][]值，或产生错误。* 应用程序可以根据 URL 缓存查找结果，或将其预编译到二进制文件中以避免任何查找。因此，需要在类型更改时保持二进制兼容性。（使用版本化的类型名称来管理重大更改。）注意：此功能当前在官方 protobuf 版本中不可用，并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月，没有广泛使用的类型服务器实现，也没有计划实现一个。除了http、https（或空方案）之外的方案可能会与特定于实现的语义一起使用。

StorageBooleanOperator

枚举值
OR
AND

枚举值

AND

StorageEnforcementAction

FAIL_KUBE_REQUEST_ENFORCEMENT：只有在启用准入控制 Webhook 以侦听 exec 和端口转发事件时，FAIL_KUBE_REQUEST_ENFORCEMENT 才生效。
FAIL_DEPLOYMENT_CREATE_ENFORCEMENT：只有在准入控制 Webhook 配置为在对象创建时强制执行时，FAIL_DEPLOYMENT_CREATE_ENFORCEMENT 才生效。
FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT：只有在准入控制 Webhook 配置为在对象更新时强制执行时，FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT 才生效。

枚举值
UNSET_ENFORCEMENT
SCALE_TO_ZERO_ENFORCEMENT
UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT
KILL_POD_ENFORCEMENT
FAIL_BUILD_ENFORCEMENT
FAIL_KUBE_REQUEST_ENFORCEMENT
FAIL_DEPLOYMENT_CREATE_ENFORCEMENT
FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT

枚举值

UNSET_ENFORCEMENT

SCALE_TO_ZERO_ENFORCEMENT

UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT

KILL_POD_ENFORCEMENT

FAIL_BUILD_ENFORCEMENT

FAIL_KUBE_REQUEST_ENFORCEMENT

FAIL_DEPLOYMENT_CREATE_ENFORCEMENT

FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT

StorageEventSource

枚举值
NOT_APPLICABLE
DEPLOYMENT_EVENT
AUDIT_LOG_EVENT

枚举值

NOT_APPLICABLE

DEPLOYMENT_EVENT

AUDIT_LOG_EVENT

StorageExclusion

字段名称

必填

可空

类型

描述

格式

名称

字符串

部署

StorageExclusionDeployment

镜像

StorageExclusionImage

过期时间

日期

日期时间

StorageExclusionDeployment

字段名称

必填

可空

类型

描述

格式

名称

字符串

范围

StorageScope

StorageExclusionImage

字段名称

必填

可空

类型

描述

格式

名称

字符串

StorageLifecycleStage

枚举值
DEPLOY（部署）
BUILD（构建）
RUNTIME（运行时）

枚举值

DEPLOY（部署）

BUILD（构建）

RUNTIME（运行时）

StorageMitreAttackVector

字段名称

必填

可空

类型

描述

格式

tactic

StorageMitreTactic

techniques

StorageMitreTechnique 列表

StorageMitreTactic

字段名称

必填

可空

类型

描述

格式

字符串

名称

字符串

描述

字符串

StorageMitreTechnique

字段名称

必填

可空

类型

描述

格式

字符串

名称

字符串

描述

字符串

StoragePolicy

Next tag: 28

字段名称必填可空类型描述格式

字符串

名称

字符串

策略名称。必须唯一。

描述

字符串

此策略的自由格式文本描述。

基本原理

字符串

补救措施

字符串

描述如何补救此策略的违规。

已禁用

布尔值

切换此策略是否将执行并主动触发警报。

类别

string 列表

此策略所属的类别列表。类别名称必须已存在于 Central 中。

生命周期阶段

StorageLifecycleStage 列表

描述此策略适用的策略生命周期阶段。选项包括 DEPLOY（部署）、BUILD（构建）和 RUNTIME（运行时）。

事件来源

StorageEventSource

NOT_APPLICABLE、DEPLOYMENT_EVENT、AUDIT_LOG_EVENT、

排除项

StorageExclusion 列表

定义应从此策略中排除的部署或镜像。

范围

StorageScope 列表

定义应包含在此策略中的集群、命名空间和部署。未定义范围表示包含所有内容。

严重性

StorageSeverity

UNSET_SEVERITY、LOW_SEVERITY、MEDIUM_SEVERITY、HIGH_SEVERITY、CRITICAL_SEVERITY、

强制执行操作

StorageEnforcementAction 列表

只有在准入控制 Webhook 配置为在对象创建/更新时强制执行时，FAIL_DEPLOYMENT_CREATE_ENFORCEMENT 才生效。只有在启用准入控制 Webhook 以侦听 exec 和端口转发事件时，FAIL_KUBE_REQUEST_ENFORCEMENT 才生效。只有在准入控制 Webhook 配置为在对象更新时强制执行时，FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT 才生效。列出在识别到此策略的违规时要采取的强制执行操作。可能的值为 UNSET_ENFORCEMENT、SCALE_TO_ZERO_ENFORCEMENT、UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT、KILL_POD_ENFORCEMENT、FAIL_BUILD_ENFORCEMENT、FAIL_KUBE_REQUEST_ENFORCEMENT、FAIL_DEPLOYMENT_CREATE_ENFORCEMENT 和 FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT。

通知程序

string 列表

应在识别到此策略的违规时触发的通知程序 ID 列表。ID 应为 UUID 格式，可通过 Central API 找到。

上次更新时间

日期

日期时间

SORTName

字符串

仅供内部使用。

SORTLifecycleStage

字符串

仅供内部使用。

SORTEnforcement

布尔值

仅供内部使用。

策略版本

字符串

策略部分

StoragePolicySection 列表

PolicySections 定义了此策略的违规标准。

mitreAttackVectors

PolicyMitreAttackVectors 列表

criteriaLocked

布尔值

只读字段。如果为 true，则策略的条件字段将呈现为只读。

mitreVectorsLocked

布尔值

只读字段。如果为 true，则策略的 MITRE ATT&CK 字段将呈现为只读。

isDefault

布尔值

只读字段。如果为 true，则表示该策略是默认策略；如果为 false，则表示该策略是自定义策略。

source

StoragePolicySource

IMPERATIVE，DECLARATIVE，

StoragePolicyGroup

字段名称

必填

可空

类型

描述

格式

fieldName

字符串

定义此 PolicyGroup 在部署或镜像上评估的字段。有关可能的完整值列表，请参见 http://docs.openshift.org.cn/acs/operating/manage-security-policies.html#policy-criteria_manage-security-policies。

booleanOperator

StorageBooleanOperator

OR，AND，

negate

布尔值

确定此 PolicyGroup 的评估是否被否定。默认为 false。

values

StoragePolicyValue 列表

StoragePolicySection

字段名称

必填

可空

类型

描述

格式

sectionName

字符串

policyGroups

StoragePolicyGroup 列表

构成此部分的策略组集。每个组都可以被认为是一个单独的条件。

StoragePolicySource

枚举值
IMPERATIVE
DECLARATIVE

枚举值

IMPERATIVE

DECLARATIVE

StoragePolicyValue

字段名称

必填

可空

类型

描述

格式

value

字符串

StorageScope

字段名称

必填

可空

类型

描述

格式

cluster

字符串

namespace

字符串

label

StorageScopeLabel

字段名称

必填

可空

类型

描述

格式

key

字符串

value

字符串

StorageSeverity

枚举值
UNSET_SEVERITY
LOW_SEVERITY
MEDIUM_SEVERITY
HIGH_SEVERITY
CRITICAL_SEVERITY

枚举值

UNSET_SEVERITY

LOW_SEVERITY

MEDIUM_SEVERITY

HIGH_SEVERITY

CRITICAL_SEVERITY

V1GetPolicyMitreVectorsResponse

字段名称

必填

可空

类型

描述

格式

policy

StoragePolicy

vectors

StorageMitreAttackVector 列表