Inicio rápido: Configuración de Azure Attestation con la CLI de Azure

Introducción a Azure Attestation mediante la CLI de Azure.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Comienza

1. Instale esta extensión mediante el siguiente comando de la CLI.

   az extension add --name attestation
   

2. Comprobación de la versión

   az extension show --name attestation --query version
   

3. Use el comando siguiente para iniciar sesión en Azure:

   az login
   

4. Si es necesario, cambie a la suscripción de Azure Attestation:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Registre el proveedor de recursos Microsoft.Attestation en la suscripción con el comando az provider register:

   az provider register --name Microsoft.Attestation
   

   Para más información sobre los proveedores de recursos de Azure y cómo configurarlos y administrarlos, consulte Tipos y proveedores de recursos de Azure.

   Nota:

   Solo necesita registrar un proveedor de recursos una vez para una suscripción.

6. Cree un grupo de recursos para el proveedor de atestación. Puede colocar otros recursos de Azure en el mismo grupo de recursos, incluida una máquina virtual con una instancia de aplicación cliente. Ejecute el comando az group create para crear un grupo de recursos o use un grupo de recursos existente:

   az group create --name attestationrg --location uksouth
   

Creación y administración de un proveedor de atestación

Estos son los comandos que puede usar para crear y administrar el proveedor de atestación:

1. Ejecute el comando az attestation create para crear un proveedor de atestación sin necesidad de firma de directiva:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Ejecute el comando az attestation show para recuperar las propiedades del proveedor de atestación, como status y AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Este comando muestra valores como la salida siguiente:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Puede eliminar un proveedor de atestación mediante el comando az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gestión de políticas

Utilice los comandos descritos aquí para proporcionar gestión de políticas a un proveedor de atestación, un tipo de atestación a la vez.

El comando az attestation policy show devuelve la directiva actual para el TEE especificado:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

A continuación se muestran los tipos de TEE admitidos:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Use el comando az attestation policy set para establecer una nueva directiva para el tipo de atestación especificado.

Para establecer la directiva en formato de texto para un tipo determinado de atestación mediante la ruta de acceso del archivo:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Para establecer la directiva en formato JWT para un tipo determinado de atestación mediante la ruta de acceso del archivo:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Pasos siguientes

• Cómo redactar y firmar una directiva de atestación
• Implementación de la atestación con un enclave SGX mediante ejemplos de código