Azure Confidential Computing 用の Secure Key Release ポリシーの例
Secure Key Release (SKR) がリリースできるのは、Microsoft Azure Attestation (MAA) によって生成された要求に基づくエクスポート可能なマーク付けされたキーだけです。 SKR ポリシー定義と MAA 要求とは緊密に統合されています。 高信頼実行環境 (TEE) による MAA 要求については、こちらをご覧ください。
SKR ポリシーをどのようにカスタマイズできるかに関して、他の例のポリシーの文法に従ってください。
Intel SGX アプリケーション エンクレーブ SKR ポリシーの例
例 1: MAA 要求の一部として MR 署名者 (SGX エンクレーブ署名者) の詳細を検証する Intel SGX ベースの SKR ポリシー
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
例 2: MAA 要求の一部として MR 署名者 (SGX エンクレーブ署名者) または MR エンクレーブの詳細を検証する Intel SGX ベースの SKR ポリシー
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
例 3: MAA 要求の一部として最小 SVN 番号の詳細を使用して MR 署名者 (SGX エンクレーブ署名者) と MR エンクレーブを検証する Intel SGX ベースの SKR ポリシー
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
機密 VM AMD SEV-SNP ベースの VM TEE SKR ポリシーの例
例 1: これが Azure 準拠の CVM であり、正規の AMD SEV-SNP ハードウェアで実行されていて、MAA URL 機関が多数のリージョンに分散しているかどうかを検証する SKR ポリシー。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
例 2: CVM が Azure 準拠の CVM であり、正規の AMD SEV-SNP ハードウェアで実行されていて、既知の仮想マシン ID であるかどうかを検証する SKR ポリシー。 (VMID は Azure 全体で一意です)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Azure Container Instances (ACI) SKR ポリシーの機密コンテナーの例
例 1: ACI 上の機密コンテナーは、コンテナー グループ起動の一環として開始されたコンテナーとコンテナー構成メタデータを検証し、AMD SEV-SNP ハードウェアであることを追加検証します。
Note
コンテナーのメタデータは、この例のように反映された rego ベースのポリシー ハッシュです。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}
References
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示