أمثلة على نهج إصدار المفتاح الآمن (SKR) للحوسبة السرية (ACC)
يمكن ل SKR إصدار مفاتيح مميزة قابلة للتصدير استنادا إلى مطالبات Microsoft Azure Attestation (MAA) التي تم إنشاؤها. هناك تكامل ضيق في تعريف نهج SKR لمطالبات MAA. يمكن العثور على مطالبات MAA بواسطة بيئة التنفيذ الموثوق بها (TEE) هنا.
اتبع التدقيق النحوي للنهج للحصول على مزيد من الأمثلة حول كيفية تخصيص نهج SKR.
أمثلة على نهج Intel SGX Application Enclaves SKR
مثال 1: نهج SKR المستند إلى Intel SGX للتحقق من صحة تفاصيل موقع MR (موقع جيب SGX) كجزء من مطالبات MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
مثال 2: نهج SKR المستند إلى Intel SGX للتحقق من صحة MR Signer (موقع جيب SGX) أو تفاصيل MR Enclave كجزء من مطالبات MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
مثال 3: نهج SKR المستند إلى Intel SGX للتحقق من صحة موقع MR (موقع جيب SGX) و MR Enclave مع تفاصيل رقم SVN دقيقة كجزء من مطالبات MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
أمثلة على نهج VM MD SEV-SNP السري المستند إلى VM TEE SKR
مثال 1: نهج SKR الذي يتحقق مما إذا كان هذا هو CVM متوافق مع Azure ويعمل على جهاز AMD SEV-SNP أصلي ويتم نشر مرجع عنوان URL MAA عبر العديد من المناطق.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
مثال 2: نهج SKR الذي يتحقق مما إذا كان CVM هو CVM متوافق مع Azure ويعمل على جهاز AMD SEV-SNP أصلي وهو من معرف جهاز ظاهري معروف. (VMIDs فريدة عبر Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
أمثلة على نهج SKR لحاويات Azure Container Instances (ACI)
مثال 1: حاويات سرية على ACI للتحقق من صحة الحاويات التي بدأت وبيانات تعريف تكوين الحاوية كجزء من إطلاق مجموعة الحاويات مع عمليات التحقق من الصحة المضافة أن هذا هو جهاز AMD SEV-SNP.
إشعار
بيانات تعريف الحاويات هي تجزئة نهج تستند إلى rego وتنعكس كما هو الحال في هذا المثال.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}