问题标签 [open-policy-agent]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
istio - ISTIO MIXER ADAPTER - 无法使 OPA 适配器与最简单的示例一起使用
我正在尝试使用最简单的规则在 Istio 中设置 OPA 适配器以默认拒绝所有内容:
当我应用它时,Istio 的策略抱怨找不到handler:
我试图在istio-system命名空间中应用它,但同样的问题。
任何人都可以在这里帮忙吗?
提前致谢。
open-policy-agent - 如何将输入传递给定义集合文档的查询规则
在 OPA 的文档中有很多用于生成集合/数组/对象以进行查询的示例,例如:
但是,在文档中,所有数据都是静态定义的:在示例中,变量apps已经存在并被定义为某个 json 对象。
为了可重用性,我想定义一个返回集合/数组/对象但允许动态传递输入的函数。本质上,我想要尝试做的是以下内容:
在这种情况下,应用程序作为函数输入传递。有没有办法在 Rego 政策中实现这一目标?还是我应该以不同的方式解决问题?或者有没有办法将不同的输入传递给不同的策略?
我知道您可以通过 REST API 将输入发送到特定策略并以这种方式控制它,但在这种情况下,我使用conftest将输入文档(例如 json 文件)传递给已编译的 rego 策略集)通过终端,所以使用 REST API 对我不起作用。
kubernetes - 如何在这个 values.yaml 中设置 RBAC?
在OPA图表的values.yaml文件中,我必须使用以下部分激活 RBAC:
如上所述,我必须在种类configmap中添加动词: get、list、watch、patch 和 update。
不幸的是,我不知道如何使它们适合 yaml ......
我不明白以下语法:
但我想动词以某种方式适合那里......
open-policy-agent - 或在 Open Policy Agent 中(联合行为)
在 OPA 中,很清楚如何查询condition AND condition:
所以goodValues这里将value3只包含。
但是如何查询condition OR condition,以便goodValues包含所有 3 个值,因为它们有value.a == "one"OR value.b == "one"?
adapter - 如何在 minikube 集群(本地)上部署 OPA(开放策略代理)适配器
https://github.com/istio/istio/tree/master/mixer/adapter/opa 我已经部署了 bookinfo 示例应用程序,并希望通过 OPA 执行策略。并设置此配置-
在这里,在处理程序中,允许为假,因此它应该向用户显示任何内容,但它不会影响任何内容。(意味着没有强制执行)仍然应用程序像以前一样显示所有内容。
open-policy-agent - 开放策略代理返回的 json 响应的测试属性与 opa 测试
有没有办法在 OPA 返回的决策的 json 响应中测试键/属性的值。(返回的响应不是是/否,而是带有键的 json 允许决定决策)例如:
假设评估的策略是以下形式:
目前我收到一个var decision is unsafe错误,因为没有在中定义决定,test_get_user_allowed_for_admin但这只是一个填充物
open-policy-agent - 如何从 Rego 表中获取密钥?
说我有数据:
输入就像:
我想要一个规则来检查输入团队是否存在:
怎么做?
kubernetes - 如何在转发到认证服务器之前过滤认证请求?
我们需要禁用通过服务帐户令牌登录。
我们正在考虑为登录事件创建一个 webhook 并将其转发给 opa,opa 将检查登录请求是否使用令牌。如果是,它会抛出一个错误,如果是,它将继续将请求转发到身份验证器/身份提供者的流程。
我们正在使用 openshift 3。