Esempi di criteri di rilascio delle chiavi sicure (SKR) per confidential computing (ACC)
SKR può rilasciare chiavi contrassegnate esportabili solo in base alle attestazioni generate da Microsoft attestazione di Azure (MAA). Esiste una stretta integrazione nella definizione dei criteri SKR per le attestazioni MAA. Le attestazioni MAA in base all'ambiente di esecuzione attendibile (T edizione Enterprise) sono disponibili qui.
Seguire la grammatica dei criteri per altri esempi su come personalizzare i criteri SKR.
Esempi di criteri SKR per l'applicazione Intel SGX
Esempio 1: Criteri SKR basati su Intel SGX che convalidano i dettagli del firmatario dell'enclave SGX (MR Signer) come parte delle attestazioni MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Esempio 2: Criteri SKR basati su Intel SGX che convalidano i dettagli dell'enclave MR Signer (SGX Enclave Signer) o MR Enclave come parte delle attestazioni MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Esempio 3: criteri SKR basati su Intel SGX che convalidano il firmatario mr signer (signer enclave SGX) e mr enclave con un minimo dettagli sul numero SVN come parte delle attestazioni MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Vm riservate AMD edizione Standard V-SNP basato su VM T edizione Enterprise esempi di criteri SKR
Esempio 1: Un criterio SKR che convalida se questo è CVM conforme ad Azure ed è in esecuzione su un hardware AMD edizione Standard V-SNP originale e l'autorità DELL'URL MAA viene distribuita in molte aree.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Esempio 2: un criterio SKR che convalida se CVM è un CVM conforme ad Azure ed è in esecuzione su un hardware AMD edizione Standard V-SNP originale ed è di un ID macchina virtuale noto. (le VMID sono univoche in Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Esempi di criteri SKR per contenitori riservati in Istanze di Azure Container (ACI)
Esempio 1: Contenitori riservati in ACI che convalidano i metadati di configurazione dei contenitori avviati e del contenitore come parte dell'avvio del gruppo di contenitori con convalide aggiunte che si tratta di un hardware AMD edizione Standard V-SNP.
Nota
I metadati dei contenitori sono un hash dei criteri basato su rego, come in questo esempio.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}