Secure Key Release Policy (SKR) Beispiele für vertrauliches Computing (ACC)
SKR kann nur exportierbare markierte Schlüssel basierend auf den generierten Ansprüchen des Microsoft Azure-Nachweises (MAA) freigeben. Es gibt eine enge Integration in die SKR-Richtliniendefinition zu MAA-Ansprüchen. MAA-Ansprüche durch vertrauenswürdige Ausführungsumgebung (TEE) finden Sie hier.
Befolgen Sie die Richtliniengrammatik, um weitere Beispiele zum Anpassen der SKR-Richtlinien zu erhalten.
Beispiele für Intel SGX Application Enklaven SKR-Richtlinien
Beispiel 1: Intel SGX-basierte SKR-Richtlinie zur Überprüfung der MR Signer-Details (SGX enklave signer) im Rahmen der MAA-Ansprüche
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Beispiel 2: Intel SGX-basierte SKR-Richtlinie, die den MR Signer (SGX enklave signer) oder MR Enclave Details im Rahmen der MAA-Ansprüche überprüft
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Beispiel 3: Intel SGX-basierte SKR-Richtlinie, die die MR Signer (SGX enklave signer) und MR Enklave mit einer min SVN-Nummerndetails als Teil der MAA-Ansprüche überprüft
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Beispiele für vertrauliche VM AMD SEV-SNP-basierte VM TEE SKR-Richtlinien
Beispiel 1: Eine SKR-Richtlinie, die überprüft, ob dies azure-kompatible CVM ist und auf einer echten AMD SEV-SNP-Hardware ausgeführt wird und die MAA-URL-Autorität in vielen Regionen verteilt ist.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Beispiel 2: Eine SKR-Richtlinie, die überprüft, ob es sich bei dem CVM um einen azure-kompatiblen CVM handelt und auf einer echten AMD SEV-SNP-Hardware ausgeführt wird und eine bekannte ID des virtuellen Computers ist. (VMIDs sind in Azure eindeutig)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Beispiele für vertrauliche Container in Azure Container Instances (ACI) SKR-Richtlinienbeispielen
Beispiel 1: Vertrauliche Container auf ACI, die die initiierten Container- und Containerkonfigurationsmetadaten als Teil des Starts der Containergruppe mit hinzugefügten Überprüfungen überprüft, bei denen es sich um eine AMD SEV-SNP-Hardware handelt.
Hinweis
Die Containermetadaten sind ein regobasierter Richtlinienhash, der wie in diesem Beispiel widerspiegelt wird.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}