Inicio rápido: Configuración de Azure Attestation con la CLI de Azure
Comience a usar Azure Attestation mediante la CLI de Azure.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Introducción
Instale esta extensión mediante el siguiente comando de la CLI.
az extension add --name attestationCompruebe la versión.
az extension show --name attestation --query versionUse el siguiente comando para iniciar sesión en Azure:
az loginSi es necesario, cambie a la suscripción para Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000Registre el proveedor de recursos Microsoft.Atestation en la suscripción con el comando az provider register:
az provider register --name Microsoft.AttestationPara más información sobre los proveedores de recursos de Azure y cómo configurarlos y administrarlos, consulte Tipos y proveedores de recursos de Azure.
Nota
Solo tiene que registrar un proveedor de recursos una vez para una suscripción.
Cree un grupo de recursos para el proveedor de atestación. Puede colocar otros recursos de Azure en el mismo grupo de recursos, incluida una máquina virtual con una instancia de aplicación cliente. Ejecute el comando az group create para crear un grupo de recursos o use un grupo de recursos existente:
az group create --name attestationrg --location uksouth
Creación y administración de un proveedor de atestación
A continuación se incluyen comandos que puede usar para crear y administrar el proveedor de atestación:
Ejecute el comando az attestation create para crear un proveedor de atestación sin requisito de firma de directivas:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westusEjecute el comando az attestation show para recuperar propiedades del proveedor de atestación como status y AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"Este comando muestra valores como la siguiente salida:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Puede eliminar un proveedor de atestación mediante el comando az attestation delete:
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Administración de directivas
Use los comandos que se describen aquí para proporcionar la administración de directivas para un proveedor de atestación, pero no más de uno a la vez.
El comando az attestation policy show devuelve la directiva actual para el TEE especificado:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Nota
El comando muestra la directiva en el formato de texto y JWT.
Estos son los tipos de TEE que se admiten:
SGX-IntelSDKSGX-OpenEnclaveSDKTPM
Use el comando az attestation policy set para establecer una nueva directiva para el tipo de atestación especificado.
Para establecer la directiva en formato de texto para un tipo determinado de atestación mediante la ruta de acceso del archivo:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Para establecer la directiva en formato JWT para un tipo determinado de atestación mediante la ruta de acceso del archivo:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT