Freigeben über


Schnellstart: Einrichten von Azure Attestation mithilfe der Azure CLI

Führen Sie erste Schritte mit Azure Attestation unter Verwendung der Azure CLI aus.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erste Schritte

  1. Installieren Sie diese Erweiterung mit dem folgenden CLI-Befehl.

    az extension add --name attestation
    
  2. Version überprüfen

    az extension show --name attestation --query version
    
  3. Führen Sie den folgenden Befehl aus, um sich bei Azure anzumelden:

    az login
    
  4. Wechseln Sie bei Bedarf zu dem Abonnement für Azure Attestation:

    az account set --subscription 00000000-0000-0000-0000-000000000000
    
  5. Registrieren Sie mit dem Befehl az provider register den Ressourcenanbieter „Microsoft.Attestation“ im Abonnement:

    az provider register --name Microsoft.Attestation
    

    Weitere Informationen zu Azure-Ressourcenanbietern sowie zu ihrer Konfiguration und Verwaltung finden Sie unter Azure-Ressourcenanbieter und -typen.

    Hinweis

    Sie müssen einen Ressourcenanbieter nur einmal für ein Abonnement registrieren.

  6. Erstellen Sie eine Ressourcengruppe für den Nachweisanbieter. Sie können andere Azure-Ressourcen (einschließlich eines virtuellen Computers mit einer Clientanwendungsinstanz) in derselben Ressourcengruppe platzieren. Führen Sie den Befehl az group create aus, um eine Ressourcengruppe zu erstellen, oder verwenden Sie eine vorhandene Ressourcengruppe:

    az group create --name attestationrg --location uksouth
    

Erstellen und Verwalten eines Nachweisanbieters

Die folgenden Befehle können Sie zum Erstellen und Verwalten des Nachweisanbieters verwenden:

  1. Führen Sie den Befehl az attestation create aus, um einen Nachweisanbieter ohne Richtliniensignierungsanforderung zu erstellen:

    az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
    
  2. Führen Sie den Befehl az attestation show aus, um Nachweisanbietereigenschaften wie „status“ und „AttestURI“ abzurufen:

    az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
    

    Mit diesem Befehl werden Werte wie in der folgenden Ausgabe angezeigt:

    Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
    Location: MyLocation
    ResourceGroupName: MyResourceGroup
    Name: MyAttestationProvider
    Status: Ready
    TrustModel: AAD
    AttestUri: https://MyAttestationProvider.us.attest.azure.net
    Tags:
    TagsTable:
    

Sie können einen Nachweisanbieter mithilfe des Befehls az attestation delete löschen:

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Richtlinienverwaltung

Verwenden Sie die hier beschriebenen Befehle, um die Richtlinienverwaltung für einen Nachweisanbieter (jeweils ein Nachweistyp) zu ermöglichen.

Der Befehl az attestation policy show gibt die aktuelle Richtlinie für die angegebene TEE zurück:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Hinweis

Der Befehl zeigt die Richtlinie sowohl im Text- als auch im JWT-Format an.

Folgende TEE-Typen werden unterstützt:

  • SGX-IntelSDK
  • SGX-OpenEnclaveSDK
  • TPM

Mit dem Befehl az attestation policy set wird eine neue Richtlinie für den angegebenen Nachweistyp festgelegt.

So legen Sie die Richtlinie im Textformat für eine bestimmte Art von Nachweistyp mithilfe des Dateipfads fest:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

So legen Sie die Richtlinie im JWT-Format für eine bestimmte Art von Nachweistyp mithilfe des Dateipfads fest:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Nächste Schritte