Schnellstart: Einrichten von Azure Attestation mithilfe der Azure CLI
Führen Sie erste Schritte mit Azure Attestation unter Verwendung der Azure CLI aus.
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erste Schritte
Installieren Sie diese Erweiterung mit dem folgenden CLI-Befehl.
az extension add --name attestationVersion überprüfen
az extension show --name attestation --query versionFühren Sie den folgenden Befehl aus, um sich bei Azure anzumelden:
az loginWechseln Sie bei Bedarf zu dem Abonnement für Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000Registrieren Sie mit dem Befehl az provider register den Ressourcenanbieter „Microsoft.Attestation“ im Abonnement:
az provider register --name Microsoft.AttestationWeitere Informationen zu Azure-Ressourcenanbietern sowie zu ihrer Konfiguration und Verwaltung finden Sie unter Azure-Ressourcenanbieter und -typen.
Hinweis
Sie müssen einen Ressourcenanbieter nur einmal für ein Abonnement registrieren.
Erstellen Sie eine Ressourcengruppe für den Nachweisanbieter. Sie können andere Azure-Ressourcen (einschließlich eines virtuellen Computers mit einer Clientanwendungsinstanz) in derselben Ressourcengruppe platzieren. Führen Sie den Befehl az group create aus, um eine Ressourcengruppe zu erstellen, oder verwenden Sie eine vorhandene Ressourcengruppe:
az group create --name attestationrg --location uksouth
Erstellen und Verwalten eines Nachweisanbieters
Die folgenden Befehle können Sie zum Erstellen und Verwalten des Nachweisanbieters verwenden:
Führen Sie den Befehl az attestation create aus, um einen Nachweisanbieter ohne Richtliniensignierungsanforderung zu erstellen:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westusFühren Sie den Befehl az attestation show aus, um Nachweisanbietereigenschaften wie „status“ und „AttestURI“ abzurufen:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"Mit diesem Befehl werden Werte wie in der folgenden Ausgabe angezeigt:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Sie können einen Nachweisanbieter mithilfe des Befehls az attestation delete löschen:
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Richtlinienverwaltung
Verwenden Sie die hier beschriebenen Befehle, um die Richtlinienverwaltung für einen Nachweisanbieter (jeweils ein Nachweistyp) zu ermöglichen.
Der Befehl az attestation policy show gibt die aktuelle Richtlinie für die angegebene TEE zurück:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Hinweis
Der Befehl zeigt die Richtlinie sowohl im Text- als auch im JWT-Format an.
Folgende TEE-Typen werden unterstützt:
SGX-IntelSDKSGX-OpenEnclaveSDKTPM
Mit dem Befehl az attestation policy set wird eine neue Richtlinie für den angegebenen Nachweistyp festgelegt.
So legen Sie die Richtlinie im Textformat für eine bestimmte Art von Nachweistyp mithilfe des Dateipfads fest:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
So legen Sie die Richtlinie im JWT-Format für eine bestimmte Art von Nachweistyp mithilfe des Dateipfads fest:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT