Kyverno Policy Reporter предназначен для работы с результатами срабатываний Kyverno-политик — PolicyReports. Также он поддерживает инструменты Kube Bench, Trivy, jsPolicy и Falco. Kyverno Policy Reporter позволяет визуализировать результаты в графическом виде. Для долгосрочного хранения или дальнейшей загрузки в SIEM-систему результаты можно выгрузить во внешнее хранилище, например в Yandex Object Storage (S3) или Yandex Data Streams.
Чтобы использовать Kyverno Policy Reporter, установите Kyverno или другой продукт, который поддерживает запись результатов в wg-policy-prototypes.
-
Чтобы выгружать результаты срабатываний политик, настройте внешнее хранилище:
-
Object Storage:
-
Создайте сервисный аккаунт с ролью
storage.uploader
, необходимый для доступа к Object Storage:yc iam service-account create --name <имя сервисного аккаунта>
-
Создайте статический ключ доступа для сервисного аккаунта в формате JSON и сохраните его в файл
sa-key.json
:yc iam access-key create \ --service-account-name=<имя сервисного аккаунта> \ --format=json > sa-key.json
-
-
Data Streams:
-
-
Задайте настройки Kyverno Policy Reporter:
-
Пространство имен — выберите пространство имен или создайте новое.
-
Название приложения — укажите название приложения.
-
Идентификатор кластера — выберите кластер Managed Service for Kubernetes из списка.
-
Установить Policy Reporter UI — включите опцию, чтобы установить компонент Policy Reporter UI для отображения результатов в графическом виде.
-
Экспорт в Object Storage — включите опцию, чтобы экспортировать результаты в Object Storage. При этом необходимо заполнить дополнительные поля:
- Имя бакета Object Storage — укажите имя бакета в Object Storage.
- Статический ключ для доступа к Object Storage — скопируйте содержимое файла
sa-key.json
или создайте новый ключ доступа для сервисного аккаунта. Сервисный аккаунт должен иметь рольstorage.uploader
.
-
Экспорт в Data Streams — включите опцию, чтобы экспортировать результаты в Data Streams. При этом необходимо заполнить дополнительные поля:
- Эндпоинт потока — укажите эндпоинт потока Data Streams.
- Имя потока — укажите имя потока Data Streams.
-
-
Нажмите кнопку Установить.
-
Дождитесь перехода приложения в статус
Deployed
.
Чтобы проверить работу Kyverno Policy Reporter, подключитесь к Policy Reporter UI для анализа и визуализации PolicyReports и убедитесь, что данные поступают в Object Storage или Data Streams.
Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.
Helm-чарт | Версия | Pull-команда | Документация |
---|---|---|---|
policy-reporter | 2.13.11 | Открыть |
Docker-образ | Версия | Pull-команда |
---|---|---|
kyverno/policy-reporter | 2.10.4 | |
kyverno/policy-reporter-ui | 1.6.7 | |
kyverno/policy-reporter-kyverno-plugin | 1.4.2 |