Biztonságos kulcskiadási szabályzatok példái az Azure Confidential Computinghoz
A biztonságos kulcskiadás (SKR) csak a Microsoft Azure-igazolás (MAA) által létrehozott jogcímek alapján adhat ki exportálható megjelölt kulcsokat. A MAA-jogcímek SKR-szabályzatdefiníciója szorosan integrálva van. A megbízható végrehajtási környezet (TEE) maa-jogcímeit itt találja .
Az SKR-szabályzatok testreszabásával kapcsolatos további példákért kövesse a szabályzat nyelvtanát .
Intel SGX Application Enclaves SKR-szabályzat példák
1. példa: Az Mr Signer (SGX enklávé aláíró) adatait érvényesítő Intel SGX-alapú SKR-szabályzat a MAA-jogcímek részeként
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
2. példa: Az MR Aláírót (SGX enklávé aláírót) vagy az MR Enklávé részleteit érvényesítő Intel SGX-alapú SKR-szabályzat a MAA-jogcímek részeként
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
3. példa: Intel SGX-alapú SKR-szabályzat, amely a MAA-jogcímek részeként érvényesíti az MR Aláírót (SGX enklávé-aláírót) és az MR Enklávét egy minimális SVN-számmal
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Bizalmas VM AMD SEV-SNP-alapú virtuálisgép-TEE SKR-szabályzatpéldák
1. példa: Egy SKR-szabályzat, amely ellenőrzi, hogy ez az Azure-kompatibilis CVM-e, és valódi AMD SEV-SNP hardveren fut-e, és a MAA URL-szolgáltatója számos régióban el van osztva.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
2. példa: Egy SKR-szabályzat, amely ellenőrzi, hogy a CVM Egy Azure-kompatibilis CVM-e, és valódi AMD SEV-SNP hardveren fut-e, és ismert virtuálisgép-azonosítóval rendelkezik. (A VMID-k egyediek az Azure-ban)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Bizalmas tárolók az Azure Container Instances (ACI) SKR-szabályzat példáiban
1. példa: Bizalmas tárolók az ACI-n, amelyek ellenőrzik a tárolók által kezdeményezett tárolókat és a tárolókonfiguráció metaadatait a tárolócsoport indítása során, és hozzáadott érvényesítéssel ellenőrzik, hogy ez egy AMD SEV-SNP hardver.
Feljegyzés
A tárolók metaadatai egy rego-alapú szabályzatkivonat, amely a példában is tükröződik.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}
Hivatkozások
Microsoft Azure-igazolás (MAA)
A biztonságos kulcs kiadásának koncepciója és alapszintű lépései