クイックスタート: Azure CLI を使用して Azure Attestation を設定する

  • [アーティクル]

Azure CLI を使用して Azure Attestation を導入します。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

はじめに

  1. 次の CLI コマンドを使用して、この拡張機能をインストールします。

    az extension add --name attestation

  2. バージョンをチェックする

    az extension show --name attestation --query version

  3. 次のコマンドを使用して、Azure にサインインします。

    az login

  4. 必要に応じて、Azure Attestation のサブスクリプションに切り替えます。

    az account set --subscription 00000000-0000-0000-0000-000000000000

  5. az provider register コマンドを使用して、サブスクリプションに Microsoft.Attestation リソース プロバイダーを登録します。

    az provider register --name Microsoft.Attestation

    Azure リソース プロバイダーについて、またリソース プロバイダーを構成、管理する方法について詳しくは、「Azure リソース プロバイダーと種類」を参照してください。

    注意

    リソース プロバイダーはサブスクリプションに 1 回だけ登録する必要があります。

  6. 構成証明プロバイダー用のリソース グループを作成します。 クライアント アプリケーション インスタンスがインストールされた仮想マシンなど、他の Azure リソースを同じリソース グループに配置することができます。 az group create コマンドを実行してリソース グループを作成するか、既存のリソース グループを使用します。

    az group create --name attestationrg --location uksouth

構成証明プロバイダーを作成して管理する

構成証明プロバイダーの作成と管理に使用できるコマンドは以下のとおりです。

  1. az attestation create コマンドを実行して、ポリシー署名要件なしで構成証明プロバイダーを作成します。

    az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus

  2. az attestation show コマンドを実行して、構成証明プロバイダーのプロパティ (状態や AttestURI など) を取得します。

    az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"

    このコマンドを実行すると、次の出力に示したような値が表示されます。

    Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
Location: MyLocation
ResourceGroupName: MyResourceGroup
Name: MyAttestationProvider
Status: Ready
TrustModel: AAD
AttestUri: https://MyAttestationProvider.us.attest.azure.net
Tags:
TagsTable:

構成証明プロバイダーは、az attestation delete コマンドを使用して削除できます。

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

ポリシー管理

構成証明プロバイダー用のポリシーを管理するには、ここで説明するコマンドを使用します (一度に 1 つの構成証明の種類)。

az attestation policy show コマンドからは、指定の TEE の現行ポリシーが返されます。

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

注意

このコマンドを実行すると、テキストと JWT 形式の両方でポリシーが表示されます。

サポートされる TEE タイプは次のとおりです。

  • SGX-IntelSDK
  • SGX-OpenEnclaveSDK
  • TPM

指定した構成証明の種類の新しいポリシーを設定するには、az attestation policy set コマンドを使用します。

ファイル パスを使用して、特定の構成証明の種類のポリシーをテキスト形式で設定するには、次のように指定します。

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

ファイル パスを使用して、特定の構成証明の種類のポリシーを JWT 形式で設定するには、次のように指定します。

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

次のステップ