Delen via


Quickstart: Azure Attestation instellen met Azure CLI

Ga aan de slag met het instellen van Azure Attestation met Azure CLI.

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Aan de slag

  1. Installeer deze extensie met behulp van de CLI-opdracht

    az extension add --name attestation
    
  2. Controleer de versie

    az extension show --name attestation --query version
    
  3. Gebruik de volgende opdracht om u aan te melden bij Azure:

    az login
    
  4. Als dat nodig is, schakelt u over naar het abonnement voor Azure Attestation:

    az account set --subscription 00000000-0000-0000-0000-000000000000
    
  5. Registreer de resourceprovider Microsoft.Attestation in het abonnement met de opdracht az provider register:

    az provider register --name Microsoft.Attestation
    

    Zie Azure-resourceproviders en -typen voor meer informatie over Azure-resourceproviders en het configureren en het beheren ervan.

    Notitie

    U hoeft slechts één keer per abonnement een resourceprovider te registreren.

  6. Maak een resource groep voor de Attestation-provider. U kunt andere Azure-resources in dezelfde resourcegroep plaatsen, met inbegrip van een virtuele machine met een client-toepassingsexemplaar). Voer de opdracht az group create uit om een resourcegroep te maken, of gebruik een bestaande resourcegroep:

    az group create --name attestationrg --location uksouth
    

Maak en beheer een Attestation-provider

Hier vindt u de opdrachten die u kunt gebruiken om de attestation-provider te maken en beheren:

  1. Voer de opdracht az attestation create uit om een attestation-provider zonder beleidsondertekeningsvereiste te maken:

    az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
    
  2. Voer de opdracht az attestation show uit om eigenschappen van de attestation-provider op te halen, zoals status en AttestURI:

    az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
    

    Deze opdracht zorgt ervoor dat er waarden worden weergegeven zoals in de volgende uitvoer:

    Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
    Location: MyLocation
    ResourceGroupName: MyResourceGroup
    Name: MyAttestationProvider
    Status: Ready
    TrustModel: AAD
    AttestUri: https://MyAttestationProvider.us.attest.azure.net
    Tags:
    TagsTable:
    

U kunt een attestation-provider verwijderen met behulp van de opdracht az attestation delete:

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Beleidsbeheer

Gebruik de opdrachten die hieronder worden beschreven, om beleidsbeheer voor een attestation-provider te kunnen bieden, één attestation-type per keer.

De opdracht az attestation policy show retourneert het huidige beleid voor de opgegeven TEE:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Notitie

De opdracht geeft beleid weer in zowel tekst- als JWT-indeling.

De volgende typen TEE worden ondersteund:

  • SGX-IntelSDK
  • SGX-OpenEnclaveSDK
  • TPM

Gebruik de opdracht az attestation policy set om nieuw beleid voor het opgegeven attestation-type in te stellen.

Beleid in de tekstindeling instellen voor een opgegeven attestation-type met behulp van het bestandspad:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Beleid in de JWT-indeling instellen voor een opgegeven attestation-type met behulp van het bestandspad:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Volgende stappen