Contoh Kebijakan Rilis Kunci Aman (SKR) untuk Komputasi Rahasia (ACC)
SKR hanya dapat merilis kunci bertanda yang dapat diekspor berdasarkan klaim yang dihasilkan Microsoft Azure Attestation (MAA). Ada integrasi yang ketat pada definisi kebijakan SKR untuk klaim MAA. Klaim MAA oleh lingkungan eksekusi tepercaya (TEE) dapat ditemukan di sini.
Ikuti tata bahasa kebijakan untuk contoh selengkapnya tentang bagaimana Anda dapat menyesuaikan kebijakan SKR.
Contoh kebijakan SKR Enklaves Aplikasi Intel SGX
Contoh 1: Kebijakan SKR berbasis Intel SGX memvalidasi detail MR Signer (penanda tangan enklave SGX) sebagai bagian dari klaim MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Contoh 2: Kebijakan SKR berbasis Intel SGX memvalidasi detail MR Signer (penanda tangan enklave SGX) atau MR Enclave sebagai bagian dari klaim MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Contoh 3: Kebijakan SKR berbasis Intel SGX memvalidasi PENANDA TANGAN MR (penanda tangan enklave SGX) dan MR Enclave dengan detail nomor SVN min sebagai bagian dari klaim MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Contoh kebijakan VM AMD SEV-SNP berbasis Rahasia TEE SKR
Contoh 1: Kebijakan SKR yang memvalidasi apakah ini adalah CVM yang mematuhi Azure dan berjalan pada perangkat keras AMD SEV-SNP asli dan otoritas URL MAA tersebar di banyak wilayah.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Contoh 2: Kebijakan SKR yang memvalidasi apakah CVM adalah CVM yang mematuhi Azure dan berjalan pada perangkat keras AMD SEV-SNP asli dan merupakan ID Komputer Virtual yang diketahui. (VMID unik di seluruh Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Kontainer rahasia pada contoh kebijakan SKR Azure Container Instances (ACI)
Contoh 1: Kontainer rahasia pada ACI memvalidasi kontainer yang dimulai dan metadata konfigurasi kontainer sebagai bagian dari peluncuran grup kontainer dengan validasi tambahan bahwa ini adalah perangkat keras AMD SEV-SNP.
Catatan
Metadata kontainer adalah hash kebijakan berbasis rego yang tercermin seperti dalam contoh ini ..
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}