Rövid útmutató: Azure-igazolás beállítása az Azure PowerShell-lel
Az alábbi lépéseket követve hozzon létre és konfiguráljon egy igazolási szolgáltatót az Azure PowerShell használatával. Az Azure PowerShell telepítésével és futtatásával kapcsolatos információkért tekintse meg az Azure PowerShell áttekintését.
Megjegyzés:
Az Az.Attestation PowerShell modul mostantól integrálva van az Az PowerShell modulba. Az igazolási műveletek támogatásához szükséges Az modul minimális verziója:
- Az PowerShell-modul 6.5.0
A PowerShell-galéria elavult Transport Layer Security (TLS) 1.0-s és 1.1-es verzióval rendelkezik. A TLS 1.2-es vagy újabb verziója ajánlott. Ezért a következő hibákat kaphatja:
- FIGYELMEZTETÉS: Nem sikerült feloldani a"" csomagforrásthttps://www.powershellgallery.com/api/v2
- PackageManagement\Install-Package: Nem található egyezés a megadott keresési feltételekhez és a modul nevéhez
A PowerShell-galéria való további használatához futtassa a következő parancsot az Install-Module parancsok előtt
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Bejelentkezés az Azure-ba
Jelentkezzen be az Azure-ba a PowerShell-konzolon (emelt szintű hozzáférési jogosultságok nélkül).
Connect-AzAccount
Szükség esetén váltson az Azure-igazoláshoz használandó előfizetésre.
Set-AzContext -Subscription <subscription id>
Microsoft.Attestation erőforrás-szolgáltató regisztrálása
Regisztrálja a Microsoft.Attestation erőforrás-szolgáltatót az előfizetésben. Az Azure-erőforrás-szolgáltatókról, valamint az erőforrás-szolgáltatók konfigurálásáról és kezeléséről további információt az Azure-erőforrás-szolgáltatók és -típusok című témakörben talál. Az erőforrás-szolgáltató regisztrálása csak egyszer szükséges az előfizetéshez.
Register-AzResourceProvider -ProviderNamespace Microsoft.Attestation
Az Azure-igazolás regionális elérhetősége
(Get-AzResourceProvider -ProviderNamespace Microsoft.Attestation)[0].Locations
Azure-erőforráscsoport létrehozása
Hozzon létre egy erőforráscsoportot az igazolási szolgáltatóhoz. Más Azure-erőforrások (beleértve az ügyfélalkalmazás-példányt tartalmazó virtuális gépet is) ugyanabba az erőforráscsoportba helyezhetők.
$location = "uksouth"
$attestationResourceGroup = "<attestation provider resource group name>"
New-AzResourceGroup -Name $attestationResourceGroup -Location $location
Megjegyzés:
Miután létrehozott egy igazolásszolgáltatót ebben az erőforráscsoportban, a Microsoft Entra-felhasználónak igazolási közreműködői szerepkörrel kell rendelkeznie a szolgáltatónál a szabályzatkonfigurációhoz vagy a szabályzat aláíró tanúsítványainak kezeléséhez. Ezeket az engedélyeket olyan szerepkörökkel is örökölheti, mint a Tulajdonos (helyettesítő karakterek engedélyei)/ Közreműködő (helyettesítő karakterek engedélyei) az előfizetésben/ erőforráscsoportban.
Igazolási szolgáltató létrehozása és kezelése
A New-AzAttestation létrehoz egy igazolási szolgáltatót.
$attestationProvider = "<attestation provider name>"
New-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location
A PolicySignerCertificateFile egy olyan fájl, amely megbízható aláírókulcsok készletét adja meg. Ha a PolicySignerCertificateFile paraméterhez fájlnév van megadva, az igazolási szolgáltató csak aláírt JWT formátumú szabályzatokkal konfigurálható. Más házirendek konfigurálhatók szövegként vagy aláíratlan JWT formátumban.
New-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location -PolicySignersCertificateFile "C:\test\policySignersCertificates.pem"
A PolicySignersCertificateFile minta esetében tekintse meg a házirend-aláíró tanúsítvány példáit.
A Get-AzAttestation lekéri az igazolás-szolgáltató tulajdonságait, például az állapotot és az AttestURI-t. Jegyezze fel az AttestURI-t, mivel később szükség lesz rá.
Get-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup
A fenti parancsnak a következő formátumban kell kimenetet létrehoznia:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
Location: MyLocation
ResourceGroupName: MyResourceGroup
Name: MyAttestationProvider
Status: Ready
TrustModel: AAD
AttestUri: https://MyAttestationProvider.us.attest.azure.net
Tags:
TagsTable:
Az igazolási szolgáltatók a Remove-AzAttestation parancsmaggal törölhetők.
Remove-AzAttestationProvider -Name $attestationProvider -ResourceGroupName $attestationResourceGroup
Házirendkezelés
A szabályzatok kezeléséhez a Microsoft Entra-felhasználónak a következő engedélyekkel kell rendelkeznie a "Műveletek":
- Microsoft.Attestation/attestationProviders/attestation/read
- Microsoft.Attestation/attestationProviders/attestation/write
- Microsoft.Attestation/attestationProviders/attestation/delete
Ezeknek a műveleteknek a végrehajtásához a Microsoft Entra-felhasználónak igazolási közreműködői szerepkörrel kell rendelkeznie az igazolási szolgáltatónál. Ezeket az engedélyeket olyan szerepkörökkel is örökölheti, mint a Tulajdonos (helyettesítő karakterek engedélyei)/ Közreműködő (helyettesítő karakterek engedélyei) az előfizetésben/ erőforráscsoportban.
A szabályzatok olvasásához a Microsoft Entra-felhasználónak a következő engedélyre van szüksége a "Műveletek":
- Microsoft.Attestation/attestationProviders/attestation/read
A művelet végrehajtásához a Microsoft Entra-felhasználónak igazolás-olvasó szerepkörrel kell rendelkeznie az igazolási szolgáltatónál. Az olvasási engedélyek olyan szerepkörökkel is örökölhetők, mint például a Reader (helyettesítő karakterek engedélyei) az előfizetésben/ erőforráscsoportban.
Ezek a PowerShell-parancsmagok szabályzatkezelést biztosítanak egy igazolásszolgáltatóhoz (egyszerre egy T Enterprise kiadás).
A Get-AzAttestationPolicy a megadott T Enterprise kiadás aktuális szabályzatát adja vissza. A parancsmag a szabályzat szövegében és JWT-formátumban is megjeleníti a szabályzatot.
$teeType = "<tee Type>"
Get-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType
A támogatott T Enterprise kiadás típusok a következők: "SgxEnclave", "OpenEnclave" és "VbsEnclave".
A Set-AttestationPolicy új szabályzatot állít be a megadott T Enterprise kiadás. A parancsmag szöveges vagy JWT formátumban fogadja el a szabályzatot, és a PolicyFormat paraméter vezérli. A PolicyFormat alapértelmezett értéke a "Text".
$policyFormat = "<policy format>"
$policy=Get-Content -path "C:\test\policy.txt" -Raw
Set-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType -Policy $policy -PolicyFormat $policyFormat
Ha a PolicySignerCertificateFile az igazolási szolgáltató létrehozásakor van megadva, a szabályzatok csak aláírt JWT formátumban konfigurálhatók. Más házirendek konfigurálhatók szövegként vagy aláíratlan JWT formátumban.
A JWT formátumú igazolási szabályzatnak tartalmaznia kell egy "AttestationPolicy" nevű jogcímet. Aláírt szabályzat esetén a JWT-t a meglévő szabályzat aláíró tanúsítványainak megfelelő titkos kulccsal kell aláírni.
A szabályzatmintákért tekintse meg az igazolási szabályzatok példáit.
A Reset-AzAttestationPolicy alaphelyzetbe állítja a szabályzatot a megadott T Enterprise kiadás alapértelmezett értékére.
Reset-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType
Szabályzat-aláíró tanúsítványok kezelése
Ezek a PowerShell-parancsmagok biztosítják az igazolási szolgáltató házirend-aláíró tanúsítványainak kezelését:
Get-AzAttestationPolicySigners -Name $attestationProvider -ResourceGroupName $attestationResourceGroup
Add-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>
Remove-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>
A szabályzat aláíró tanúsítványa egy "maa-policyCertificate" nevű jogcímmel rendelkező aláírt JWT. A jogcím értéke egy JWK, amely tartalmazza a hozzáadni kívánt megbízható aláírókulcsot. A JWT-t a meglévő szabályzat aláíró tanúsítványainak megfelelő titkos kulccsal kell aláírni.
A szabályzat aláíró tanúsítványának minden szemantikai manipulációját a PowerShellen kívül kell elvégezni. Ami a PowerShellt illeti, ez egy egyszerű sztring.
A szabályzat-aláíró tanúsítványmintájáért tekintse meg a szabályzat aláíró tanúsítványára vonatkozó példákat.
További információ a parancsmagokról és paramétereiről: Azure Attestation PowerShell-parancsmagok