クイック スタート: Azure CLI を使用して Azure Attestation を設定する

Azure CLI を使用して Azure Attestation の使用を開始します。

[前提条件]

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

概要

1. 次の CLI コマンドを使用して、この拡張機能をインストールします

   az extension add --name attestation
   

2. バージョンを確認する

   az extension show --name attestation --query version
   

3. 次のコマンドを使用して Azure にサインインします。

   az login
   

4. 必要に応じて、Azure Attestation のサブスクリプションに切り替えます。

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. az provider register コマンドを使用して、サブスクリプションに Microsoft.Attestation リソース プロバイダーを登録します。

   az provider register --name Microsoft.Attestation
   

   Azure リソース プロバイダーの詳細と、それらを構成および管理する方法については、 Azure リソース プロバイダーと種類に関するページを参照してください。

   注

   サブスクリプションに対してリソース プロバイダーを登録する必要があるのは 1 回だけです。

6. 構成証明プロバイダーのリソース グループを作成します。 クライアント アプリケーション インスタンスを持つ仮想マシンなど、他の Azure リソースを同じリソース グループに配置できます。 az group create コマンドを実行してリソース グループを作成するか、既存のリソース グループを使用します。

   az group create --name attestationrg --location uksouth
   

構成証明プロバイダーを作成して管理する

構成証明プロバイダーの作成と管理に使用できるコマンドを次に示します。

1. az attestation create コマンドを実行して、ポリシー署名要件なしで構成証明プロバイダーを作成します。

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. az attestation show コマンドを実行して、status や AttestURI などの構成証明プロバイダーのプロパティを取得します。

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   このコマンドは、次の出力のような値を表示します。

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

az attestation delete コマンドを使用して、構成証明プロバイダーを削除できます。

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

ポリシー管理

構成証明プロバイダー (一度に 1 つの構成証明の種類) のポリシー管理を提供するには、ここで説明するコマンドを使用します。

az attestation policy show コマンドは、指定された TEE の現在のポリシーを返します。

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

注

このコマンドは、テキスト形式と JWT 形式の両方でポリシーを表示します。

サポートされている TEE の種類を次に示します。

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

az attestation policy set コマンドを使用して、指定した構成証明の種類の新しいポリシーを設定します。

ファイル パスを使用して、特定の構成証明の種類のポリシーをテキスト形式で設定するには、次のように指定します。

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

ファイル パスを使用して、特定の種類の構成証明の種類に対して JWT 形式でポリシーを設定するには:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

次のステップ

• 証明ポリシーを作成し、署名する方法
• コード サンプルを用いてSGXエンクレーブで構成証明を実装する