Azure 기밀 컴퓨팅에 대한 보안 키 릴리스 정책 예제
SR(보안 키 릴리스)은 MAA(Microsoft Azure Attestation) 생성된 클레임을 기반으로 내보낼 수 있는 표시된 키만 해제할 수 있습니다. MAA 클레임에 대한 SKR 정책 정의에 긴밀한 통합이 있습니다. TEE(신뢰할 수 있는 실행 환경)의 MAA 클레임은 여기에서 찾을 수 있습니다.
SKR 정책을 사용자 지정하는 방법에 대한 자세한 예제는 정책 문법을 따릅니다.
Intel SGX Application Enclaves SKR 정책 예제
예제 1: MAA 클레임의 일부로 MR Signer(SGX enclave 서명자) 세부 정보의 유효성을 검사하는 Intel SGX 기반 SKR 정책
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
예제 2: MAA 클레임의 일부로 MR 서명자(SGX Enclave 서명자) 또는 MR Enclave 세부 정보의 유효성을 검사하는 Intel SGX 기반 SKR 정책
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
예제 3: MAA 클레임의 일부로 최소 SVN 번호 세부 정보를 사용하여 MR 서명자(SGX enclave 서명자) 및 MR Enclave의 유효성을 검사하는 Intel SGX 기반 SKR 정책
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
기밀 VM AMD SEV-SNP 기반 VM TEE SKR 정책 예제
예제 1: 이것이 Azure 규격 CVM이고 정품 AMD SEV-SNP 하드웨어에서 실행되고 있는지 유효성을 검사하고 MAA URL 기관이 여러 지역에 분산되어 있는지 확인하는 SKR 정책입니다.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
예제 2: CVM이 Azure 규격 CVM이고 정품 AMD SEV-SNP 하드웨어에서 실행 중이고 알려진 Virtual Machine ID인지 확인하는 SKR 정책입니다. (VMID는 Azure에서 고유)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
ACI(Azure Container Instances) SKR 정책 예제의 기밀 컨테이너
예제 1: ACI의 기밀 컨테이너는 AMD SEV-SNP 하드웨어라는 추가 유효성 검사를 통해 컨테이너 그룹 시작의 일부로 시작된 컨테이너 및 컨테이너 구성 메타데이터의 유효성을 검사합니다.
참고 항목
컨테이너 메타데이터는 이 예제와 같이 반영된 rego 기반 정책 해시입니다.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}