選択したリソース プロパティの値を適用して、問題を一時的に修正できます。ルールの [適用] アクションを設定すると、変更された値が考慮され、違反アラートが表示されます。修正後もワークロードがルールに違反している場合、展開はブロックされます。
注: このコンテキストで、変更は、ポリシーが新しい基準に基づいて Kubernetes リソースを変更することを意味します。たとえば、権限のエスカレーションを許可します。
[適用] アクションを適用できるルールは、次の表に記載されています。
| ルール カテゴリ | 適用アクションを許可するルール | リソース フィールド | 適用される値 |
|---|---|---|---|
| ワークロード セキュリティ | ホスト名前空間へのアクセス | spec.hostNetwork spec.hostPID spec.hostIPC |
False |
| 権限の昇格を許可 | spec.containers[*].securityContext.allowPrivilegeEscalation |
False | |
| 特権コンテナを許可 | spec.containers[*].securityContext.privileged |
False | |
| 書き込み可能ファイル システム | spec.containers[*].securityContext.readOnlyRootFilesystem |
True | |
| SecComp プロファイル | metadata.annotations['container.seccomp.security.alpha.kubernetes.io/*'] metadata.annotations['seccomp.security.alpha.kubernetes.io/pod*'] spec.securityContext.seccompProfile.type spec.containers[*].securityContext.seccompProfile |
ユーザー定義 | |
| Sysctl | spec.securityContext.sysctls |
ユーザー定義 | |
| 追加機能 | spec.containers[*].securityContext.capabilities.add |
ユーザー定義 | |
| AppArmor | metadata.annotations['container.apparmor.security.beta.kubernetes.io/*'] |
ユーザー定義 | |
| Unmasked proc mount | spec.containers[*].securityContext.procMount |
空白(フィールドを削除) | |
| ルートなしの適用 | spec.securityContext.runAsNonRoot spec.containers[*].securityContext.runAsNonRoot spec.containers[*].securityContext.runAsGroup spec.containers[*].securityContext.runAsUser securityContext.runAsGroup securityContext.runAsUser |
ユーザー定義のユーザーおよびグループ ID | |
| クオータ | CPU 制限 | spec.containers[*].resources.limits.cpu spec.containers[*].resources.requests.cpu |
ユーザー定義 |
| メモリ制限 | spec.containers[*].resources.limits.memory spec.containers[*].resources.requests.memory |
ユーザー定義 |
