Inicio rápido: Configuración de Azure Attestation con la CLI de Azure

Comience a usar Azure Attestation mediante la CLI de Azure.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Introducción

1. Instale esta extensión mediante el siguiente comando de la CLI.

   az extension add --name attestation
   

2. Compruebe la versión.

   az extension show --name attestation --query version
   

3. Use el siguiente comando para iniciar sesión en Azure:

   az login
   

4. Si es necesario, cambie a la suscripción para Azure Attestation:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Registre el proveedor de recursos Microsoft.Atestation en la suscripción con el comando az provider register:

   az provider register --name Microsoft.Attestation
   

   Para más información sobre los proveedores de recursos de Azure y cómo configurarlos y administrarlos, consulte Tipos y proveedores de recursos de Azure.

   Nota

   Solo tiene que registrar un proveedor de recursos una vez para una suscripción.

6. Cree un grupo de recursos para el proveedor de atestación. Puede colocar otros recursos de Azure en el mismo grupo de recursos, incluida una máquina virtual con una instancia de aplicación cliente. Ejecute el comando az group create para crear un grupo de recursos o use un grupo de recursos existente:

   az group create --name attestationrg --location uksouth
   

Creación y administración de un proveedor de atestación

A continuación se incluyen comandos que puede usar para crear y administrar el proveedor de atestación:

1. Ejecute el comando az attestation create para crear un proveedor de atestación sin requisito de firma de directivas:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Ejecute el comando az attestation show para recuperar propiedades del proveedor de atestación como status y AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Este comando muestra valores como la siguiente salida:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Puede eliminar un proveedor de atestación mediante el comando az attestation delete:

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Administración de directivas

Use los comandos que se describen aquí para proporcionar la administración de directivas para un proveedor de atestación, pero no más de uno a la vez.

El comando az attestation policy show devuelve la directiva actual para el TEE especificado:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Nota

El comando muestra la directiva en el formato de texto y JWT.

Estos son los tipos de TEE que se admiten:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Use el comando az attestation policy set para establecer una nueva directiva para el tipo de atestación especificado.

Para establecer la directiva en formato de texto para un tipo determinado de atestación mediante la ruta de acceso del archivo:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Para establecer la directiva en formato JWT para un tipo determinado de atestación mediante la ruta de acceso del archivo:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Pasos siguientes

• Creación y firma de una directiva de atestación
• Implementar la atestación con un enclave de SGX mediante ejemplos de código