すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:DescribePolicyGovernanceInCluster

最終更新日:Apr 04, 2026

Container Service for Kubernetes (ACK) クラスターのコンテナセキュリティポリシーは、本番環境でコンテナを保護するために、ComplianceInfraK8s-generalPSP などの豊富な組み込みルールライブラリを提供します。DescribePolicyGovernanceInCluster API を呼び出して、ターゲットクラスターのポリシーガバナンス詳細 (重大度別のポリシー統計、監査ログ、遮断およびアラートイベントなど) を取得します。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

cs:DescribePolicyGovernanceInCluster

get

*Cluster

acs:cs:{#regionId}:{#accountId}:cluster/{#ClusterId}

なし なし

リクエスト構文

GET /clusters/{cluster_id}/policygovernance HTTP/1.1

パスパラメータ

パラメーター

必須 / 任意

説明

cluster_id

string

必須

クラスター ID。

c8155823d057948c69a****

リクエストパラメーター

パラメーター

必須 / 任意

説明

リクエストパラメーターは必要ありません。

レスポンスフィールド

フィールド

説明

object

応答スキーマ。

on_state

array<object>

クラスター内で有効化されているポリシーの統計。重大度別に分類されています。

object

enabled_count

integer

有効化されているポリシータイプの数。

3

total

integer

この重大度のポリシータイプの総数。

8

severity

string

ポリシーの重大度レベル。

high

admit_log

object

クラスター内のポリシーガバナンスの監査ログ。

progress

string

クエリのステータス。有効な値:

  • Complete:すべてのクエリ結果が返されます。

  • Incomplete:クエリは結果セットの一部を返しました。リクエストを再送信して、残りの結果を取得してください。

Complete

count

integer

現在のクエリで返されたログの総数。

100

logs

array<object>

ポリシー違反のログエントリ。

object

cluster_id

string

クラスター ID。

hash code

constraint_action

string

ポリシーの強制アクション。有効な値:

  • warn:違反リクエストに対して警告をログに記録しますが、リクエストの続行は許可します。

  • deny:ポリシーに違反するリクエストを拒否します。

deny

constraint_api_version

string

ポリシーの API バージョン。

v1beta1

constraint_category

string

ポリシータイプ。

cis-k8s

constraint_group

string

ポリシーの API グループ。

constraints.gatekeeper.sh

constraint_kind

string

ポリシー制約の種類。

ACKNamespacesDeleteProtection

constraint_name

string

ポリシーインスタンスの名前。

namespace-delete-protection-jpjwv

event_msg

string

ポリシーの強制によって生成されたメッセージ。

Admission webhook \"validation.gatekeeper.sh\" denied request, Resource Namespace: , Constraint: namespace-delete-protection-jpjwv, Message: not allow to delete protection namespace test.

event_type

string

ログに記録されたイベントのタイプ (例:violation)。

violation

request_uid

string

リクエスト ID。

hash code

request_userinfo

string

ポリシーに違反したリクエストを行ったユーザーに関する情報。

account id

request_username

string

ポリシーに違反したリクエストを行ったユーザーの名前。

account user name

resource_kind

string

違反リソースのタイプ。たとえば、名前空間に対する操作リクエストが拒否された場合、値は Namespace です。

Namespace

resource_name

string

違反リソースの名前。

test

time

string

ポリシー違反が発生した時間。

2025-10-27T11:31:40Z

log_project

string

ポリシー強制情報を格納するログプロジェクト。

k8s-log-clusterid

log_store

string

ポリシー強制情報を格納するログストア。

policyadmit-clusterid

Violation

object

ポリシー違反の概要。重大度別にグループ化されています。

totalViolations

object

すべてのポリシー違反の概要。

deny

array<object>

拒否アクションの概要。

object

severity

string

重大度レベル。有効な値:lowmediumhigh

medium

violations

string

違反数。

2

warn

array<object>

警告アクションの概要。

object

severity

string

重大度レベル。有効な値:lowmediumhigh

high

violations

integer

違反数。

0

violations

object

違反の概要。ポリシー名別にグループ化されています。

deny

array<object>

拒否アクションの概要。

object

policyDescription

string

ポリシーの説明。

Prevent specific namespaces from being deleted.

policyName

string

ポリシー名。

ACKNamespacesDeleteProtection

severity

string

重大度レベル。

medium

violations

integer

違反数。

1

warn

array<object>

警告アクションの概要。

object

policyDescription

string

ポリシーの説明。

policyName

string

ポリシー名。

severity

string

重大度レベル。

violations

integer

違反数。

成功レスポンス

JSONJSON

{
  "on_state": [
    {
      "enabled_count": 3,
      "total": 8,
      "severity": "high"
    }
  ],
  "admit_log": {
    "progress": "Complete",
    "count": 100,
    "logs": [
      {
        "cluster_id": "hash code",
        "constraint_action": "deny",
        "constraint_api_version": "v1beta1",
        "constraint_category": "cis-k8s",
        "constraint_group": "constraints.gatekeeper.sh",
        "constraint_kind": "ACKNamespacesDeleteProtection",
        "constraint_name": "namespace-delete-protection-jpjwv",
        "event_msg": "Admission webhook \\\"validation.gatekeeper.sh\\\" denied request, Resource Namespace: , Constraint: namespace-delete-protection-jpjwv, Message: not allow to delete protection namespace test.",
        "event_type": "violation",
        "request_uid": "hash code",
        "request_userinfo": "account id",
        "request_username": "account user name\n",
        "resource_kind": "Namespace",
        "resource_name": "test",
        "time": "2025-10-27T11:31:40Z"
      }
    ],
    "log_project": "k8s-log-clusterid",
    "log_store": "policyadmit-clusterid"
  },
  "Violation": {
    "totalViolations": {
      "deny": [
        {
          "severity": "medium",
          "violations": "2"
        }
      ],
      "warn": [
        {
          "severity": "high",
          "violations": 0
        }
      ]
    },
    "violations": {
      "deny": [
        {
          "policyDescription": "Prevent specific namespaces from being deleted.",
          "policyName": "ACKNamespacesDeleteProtection",
          "severity": "medium",
          "violations": 1
        }
      ],
      "warn": [
        {
          "policyDescription": "",
          "policyName": "",
          "severity": "",
          "violations": 0
        }
      ]
    }
  }
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。