Rychlý start: Nastavení Azure Attestation pomocí Azure CLI

Začínáme s Azure Attestation pomocí Azure CLI.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Začínáme

1. Nainstalujte toto rozšíření pomocí následujícího příkazu rozhraní příkazového řádku.

   az extension add --name attestation
   

2. Kontrola verze

   az extension show --name attestation --query version
   

3. Pomocí následujícího příkazu se přihlaste k Azure:

   az login
   

4. V případě potřeby přepněte na předplatné pro Azure Attestation:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Pomocí příkazu az provider register zaregistrujte poskytovatele prostředků Microsoft.Attestation v předplatném:

   az provider register --name Microsoft.Attestation
   

   Další informace o poskytovateli prostředků Azure a jejich konfiguraci a správě najdete v tématu Poskytovatelé a typy prostředků Azure.

   Poznámka

   Pro předplatné stačí zaregistrovat poskytovatele prostředků jenom jednou.

6. Vytvořte skupinu prostředků pro poskytovatele ověření identity. Do stejné skupiny prostředků můžete umístit další prostředky Azure, včetně virtuálního počítače s instancí klientské aplikace. Spuštěním příkazu az group create vytvořte skupinu prostředků nebo použijte existující skupinu prostředků:

   az group create --name attestationrg --location uksouth
   

Vytvoření a správa poskytovatele ověření identity

Tady jsou příkazy, které můžete použít k vytvoření a správě poskytovatele ověření identity:

1. Spuštěním příkazu az attestation create vytvořte zprostředkovatele ověření identity bez požadavku na podepisování zásad:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Spuštěním příkazu az attestation show načtěte vlastnosti zprostředkovatele ověření identity, jako je status a AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Tento příkaz zobrazí hodnoty podobné následujícímu výstupu:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Poskytovatele ověření identity můžete odstranit pomocí příkazu az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Správa zásad

Pomocí zde popsaných příkazů můžete zajistit správu zásad pro poskytovatele ověření identity, a to po jednom typu ověření identity.

Příkaz az attestation policy show vrátí aktuální zásady pro zadanou službu TEE:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Poznámka

Příkaz zobrazí zásadu ve formátu textu i JWT.

Podporované typy TEE jsou následující:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Pomocí příkazu az attestation policy set nastavte novou zásadu pro zadaný typ ověření identity.

Nastavení zásad v textovém formátu pro daný typ ověření identity pomocí cesty k souboru:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Nastavení zásad ve formátu JWT pro daný typ ověření pomocí cesty k souboru:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Další kroky

• Jak vytvořit a podepsat zásady ověřování identity
• Implementace ověření identity pomocí enklávy SGX s využitím ukázek kódu