Rychlý start: Nastavení Azure Attestation pomocí Azure CLI
Začínáme s Azure Attestation pomocí Azure CLI.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.
Začínáme
Nainstalujte toto rozšíření pomocí následujícího příkazu rozhraní příkazového řádku.
az extension add --name attestation
Kontrola verze
az extension show --name attestation --query version
Pomocí následujícího příkazu se přihlaste k Azure:
az login
V případě potřeby přepněte na předplatné pro Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000
Pomocí příkazu az provider register zaregistrujte poskytovatele prostředků Microsoft.Attestation v předplatném:
az provider register --name Microsoft.Attestation
Další informace o poskytovateli prostředků Azure a jejich konfiguraci a správě najdete v tématu Poskytovatelé a typy prostředků Azure.
Poznámka
Pro předplatné stačí zaregistrovat poskytovatele prostředků jenom jednou.
Vytvořte skupinu prostředků pro poskytovatele ověření identity. Do stejné skupiny prostředků můžete umístit další prostředky Azure, včetně virtuálního počítače s instancí klientské aplikace. Spuštěním příkazu az group create vytvořte skupinu prostředků nebo použijte existující skupinu prostředků:
az group create --name attestationrg --location uksouth
Vytvoření a správa poskytovatele ověření identity
Tady jsou příkazy, které můžete použít k vytvoření a správě poskytovatele ověření identity:
Spuštěním příkazu az attestation create vytvořte zprostředkovatele ověření identity bez požadavku na podepisování zásad:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
Spuštěním příkazu az attestation show načtěte vlastnosti zprostředkovatele ověření identity, jako je status a AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
Tento příkaz zobrazí hodnoty podobné následujícímu výstupu:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Poskytovatele ověření identity můžete odstranit pomocí příkazu az attestation delete :
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Správa zásad
Pomocí zde popsaných příkazů můžete zajistit správu zásad pro poskytovatele ověření identity, a to po jednom typu ověření identity.
Příkaz az attestation policy show vrátí aktuální zásady pro zadanou službu TEE:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Poznámka
Příkaz zobrazí zásadu ve formátu textu i JWT.
Podporované typy TEE jsou následující:
SGX-IntelSDK
SGX-OpenEnclaveSDK
TPM
Pomocí příkazu az attestation policy set nastavte novou zásadu pro zadaný typ ověření identity.
Nastavení zásad v textovém formátu pro daný typ ověření identity pomocí cesty k souboru:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Nastavení zásad ve formátu JWT pro daný typ ověření pomocí cesty k souboru:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT