Příklady zásad SKR (Secure Key Release Policy) pro důvěrné výpočty (ACC)
SKR může vydávat exportovatelné označené klíče pouze na základě vygenerovaných deklarací identity Microsoft Azure Attestation (MAA). Pro definici zásad SKR existuje úzká integrace s deklaracemi identity MAA. Deklarace identity MAA podle důvěryhodného spouštěcího prostředí (TEE) najdete tady.
Další příklady přizpůsobení zásad SKR najdete v gramatikě zásad.
Příklady zásad SKR pro aplikace Intel SGX
Příklad 1: Zásady SKR založené na Intel SGX, které v rámci deklarací identity MAA ověřuje podrobnosti podpisu PODPISU MR (SGX enkláva).
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Příklad 2: Zásady SKR založené na Intel SGX, které v rámci deklarací identity MAA ověřuje podepisující podpis MR (SGX enkláva) nebo podrobnosti o enklávě MR
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Příklad 3: Zásady SKR založené na Technologii SGX pro ověřování podpisů MR (SGX enkláva) a MR Enklave s minimálními podrobnostmi o čísle SVN jako součást deklarací identity MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Příklady zásad pro důvěrné virtuální počítače AMD SEV-SNP založené na virtuálním počítači TEE SKR
Příklad 1: Zásada SKR, která ověřuje, jestli je to kompatibilní s Azure CVM a běží na skutečném hardwaru AMD SEV-SNP a autorita URL MAA se šíří do mnoha oblastí.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Příklad 2: Zásada SKR, která ověřuje, jestli je CVM kompatibilní s Azure a běží na skutečném hardwaru AMD SEV-SNP a je známé ID virtuálního počítače. (Identifikátory VMID jsou v rámci Azure jedinečné)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Příklady důvěrných kontejnerů v zásadách služby Azure Container Instances (ACI)
Příklad 1: Důvěrné kontejnery v ACI ověřující inicializovaná kontejnery a metadata konfigurace kontejneru jako součást spuštění skupiny kontejnerů s přidanými ověřeními, že se jedná o hardware AMD SEV-SNP.
Poznámka:
Metadata kontejnerů jsou hodnota hash zásad založená na rego, jak je znázorněno v tomto příkladu.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}