Szybki Start: Konfigurowanie Azure Attestation za pomocą Azure CLI

Rozpocznij pracę z Azure Attestation przy użyciu Azure CLI.

Wymagania wstępne

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Wprowadzenie

1. Zainstaluj to rozszerzenie przy użyciu poniższego polecenia CLI

   az extension add --name attestation
   

2. Sprawdzanie wersji

   az extension show --name attestation --query version
   

3. Użyj następującego polecenia, aby zalogować się do platformy Azure:

   az login
   

4. W razie potrzeby przejdź do subskrypcji zaświadczeń platformy Azure:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Zarejestruj dostawcę zasobów Microsoft.Attestation w subskrypcji za pomocą polecenia az provider register :

   az provider register --name Microsoft.Attestation
   

   Aby uzyskać więcej informacji na temat dostawców zasobów platformy Azure oraz sposobu ich konfigurowania i zarządzania nimi, zobacz Dostawcy zasobów i typy platformy Azure.

   Uwaga / Notatka

   Musisz zarejestrować dostawcę zasobów tylko raz dla subskrypcji.

6. Utwórz grupę zasobów dla dostawcy zaświadczania. Możesz umieścić inne zasoby platformy Azure w tej samej grupie zasobów, w tym maszynę wirtualną z wystąpieniem aplikacji klienckiej. Uruchom polecenie az group create , aby utworzyć grupę zasobów lub użyć istniejącej grupy zasobów:

   az group create --name attestationrg --location uksouth
   

Tworzenie dostawcy zaświadczania i zarządzanie nim

Oto polecenia, których można użyć do utworzenia dostawcy zaświadczania i zarządzania nim:

1. Uruchom polecenie az attestation create , aby utworzyć dostawcę zaświadczania bez wymagania dotyczącego podpisywania zasad:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Uruchom polecenie az attestation show , aby pobrać właściwości dostawcy zaświadczania, takie jak status i AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   To polecenie wyświetla wartości podobne do następujących danych wyjściowych:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Możesz usunąć dostawcę zaświadczania przy użyciu polecenia az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Zarządzanie zasadami

Użyj poleceń opisanych tutaj, aby zapewnić zarządzanie zasadami dla dostawcy zaświadczania, jeden typ zaświadczania naraz.

Polecenie az attestation policy show zwraca bieżące zasady dla określonego TEE:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Obsługiwane są następujące typy TEE:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Użyj polecenia az attestation policy set aby ustawić nową politykę dla określonego typu uwierzytelniania.

Aby ustawić zasady w formacie tekstowym dla danego typu zaświadczania przy użyciu ścieżki pliku:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Aby ustawić zasady w formacie JWT dla danego typu zaświadczania przy użyciu ścieżki pliku:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Dalsze kroki

• Tworzenie i podpisywanie zasad zaświadczania
• Implementowanie zaświadczania przy użyciu enklawy SGX przy użyciu przykładów kodu