5.13.6. コンプライアンス修復の詳細情報の取得

コンプライアンス Operator は、クラスターが準拠できるようにする必要な変更を自動化するために使用される修復オブジェクトを提供します。fetch-fixes サブコマンドは、使用する設定の修復を正確に理解するのに役立ちます。fetch-fixes サブコマンドを使用して、検査するディレクトリーにプロファイル、ルール、または ComplianceRemediation オブジェクトから修復オブジェクトを展開します。

手順

  1. プロファイルの修復を表示します。

    $ oc compliance fetch-fixes profile ocp4-cis -o /tmp

    出力例

    No fixes to persist for rule 'ocp4-api-server-api-priority-flowschema-catch-all' 1
    No fixes to persist for rule 'ocp4-api-server-api-priority-gate-enabled'
    No fixes to persist for rule 'ocp4-api-server-audit-log-maxbackup'
    Persisted rule fix to /tmp/ocp4-api-server-audit-log-maxsize.yaml
    No fixes to persist for rule 'ocp4-api-server-audit-log-path'
    No fixes to persist for rule 'ocp4-api-server-auth-mode-no-aa'
    No fixes to persist for rule 'ocp4-api-server-auth-mode-node'
    No fixes to persist for rule 'ocp4-api-server-auth-mode-rbac'
    No fixes to persist for rule 'ocp4-api-server-basic-auth'
    No fixes to persist for rule 'ocp4-api-server-bind-address'
    No fixes to persist for rule 'ocp4-api-server-client-ca'
    Persisted rule fix to /tmp/ocp4-api-server-encryption-provider-cipher.yaml
    Persisted rule fix to /tmp/ocp4-api-server-encryption-provider-config.yaml

    1
    ルールが自動的に修復されないか、または修復が行われないために対応する修復のないルールがプロファイルにある場合は常に、No fixes to persist の警告が出されることが予想されます。
  2. YAML ファイルのサンプルを表示できます。head コマンドは、最初の 10 行を表示します。

    $ head /tmp/ocp4-api-server-audit-log-maxsize.yaml

    出力例

    apiVersion: config.openshift.io/v1
    kind: APIServer
    metadata:
      name: cluster
    spec:
      maximumFileSizeMegabytes: 100

  3. スキャン後に作成される ComplianceRemediation オブジェクトから修復を表示します。

    $ oc get complianceremediations -n openshift-compliance

    出力例

    NAME                                             STATE
    ocp4-cis-api-server-encryption-provider-cipher   NotApplied
    ocp4-cis-api-server-encryption-provider-config   NotApplied

    $ oc compliance fetch-fixes complianceremediations ocp4-cis-api-server-encryption-provider-cipher -o /tmp

    出力例

    Persisted compliance remediation fix to /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml

  4. YAML ファイルのサンプルを表示できます。head コマンドは、最初の 10 行を表示します。

    $ head /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml

    出力例

    apiVersion: config.openshift.io/v1
    kind: APIServer
    metadata:
      name: cluster
    spec:
      encryption:
        type: aescbc

警告

修復を直接適用するには注意が必要です。一部の修復は、適度なプロファイルの usbguard ルールなどのように一括して適用できない場合があります。このような場合、コンプライアンス Operator は依存関係に対応し、クラスターは正常な状態のままになるため、ルールを適用できます。