Démarrage rapide : Configurer Azure Attestation avec Azure CLI

Commencez avec Azure Attestation à l’aide d’Azure CLI.

Prerequisites

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Get started

1. Installer cette extension à l’aide de la commande CLI ci-dessous

   az extension add --name attestation
   

2. Vérifier la version

   az extension show --name attestation --query version
   

3. Utilisez la commande suivante pour vous connecter à Azure :

   az login
   

4. Si nécessaire, basculez vers l’abonnement pour Azure Attestation :

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Inscrivez le fournisseur de ressources Microsoft.Attestation dans l’abonnement à l’aide de la commande az provider register :

   az provider register --name Microsoft.Attestation
   

   Pour plus d’informations sur les fournisseurs de ressources Azure et sur la façon de les configurer et de les gérer, consultez fournisseurs et types de ressources Azure.

   Note

   Vous devez inscrire un fournisseur de ressources une seule fois pour un abonnement.

6. Créez un groupe de ressources pour le fournisseur d’attestation. Vous pouvez placer d’autres ressources Azure dans le même groupe de ressources, y compris une machine virtuelle avec une instance d’application cliente. Exécutez la commande az group create pour créer un groupe de ressources ou utilisez un groupe de ressources existant :

   az group create --name attestationrg --location uksouth
   

Créer et gérer un fournisseur d’attestation

Voici les commandes que vous pouvez utiliser pour créer et gérer le fournisseur d’attestation :

1. Exécutez la commande az attestation create pour créer un fournisseur d’attestation sans exigence de signature de politique :

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Exécutez la commande az attestation show pour récupérer les propriétés du fournisseur d’attestation, telles que l’état et AttestURI :

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Cette commande affiche des valeurs comme la sortie suivante :

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Vous pouvez supprimer un fournisseur d’attestation à l’aide de la commande az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gestion des stratégies

Utilisez les commandes décrites ici pour fournir la gestion des stratégies pour un fournisseur d’attestation, un type d’attestation à la fois.

La commande az attestation policy show retourne la stratégie actuelle pour le TEE spécifié :

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Voici les types TEE pris en charge :

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Utilisez la commande az attestation policy set pour définir une nouvelle stratégie pour le type d’attestation spécifié.

Pour définir une stratégie au format texte pour un type d’attestation donné à l’aide du chemin d’accès au fichier :

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Pour définir une stratégie au format JWT pour un type d’attestation donné à l’aide du chemin d’accès au fichier :

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Étapes suivantes

• Guide pratique pour créer et signer une stratégie d’attestation
• Implémenter une attestation avec une enclave SGX à l’aide d’exemples de code