Szybki start: konfigurowanie Azure Attestation przy użyciu interfejsu wiersza polecenia platformy Azure
Rozpocznij pracę z Azure Attestation przy użyciu interfejsu wiersza polecenia platformy Azure.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Rozpoczęcie pracy
Zainstaluj to rozszerzenie przy użyciu poniższego polecenia interfejsu wiersza polecenia
az extension add --name attestationSprawdzanie wersji
az extension show --name attestation --query versionUżyj następującego polecenia, aby zalogować się do platformy Azure:
az loginW razie potrzeby przejdź do subskrypcji dla Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000Zarejestruj dostawcę zasobów Microsoft.Attestation w subskrypcji za pomocą polecenia az provider register :
az provider register --name Microsoft.AttestationAby uzyskać więcej informacji na temat dostawców zasobów platformy Azure oraz sposobu ich konfigurowania i zarządzania nimi, zobacz Dostawcy zasobów i typy zasobów platformy Azure.
Uwaga
Musisz zarejestrować dostawcę zasobów tylko raz dla subskrypcji.
Utwórz grupę zasobów dla dostawcy zaświadczania. Możesz umieścić inne zasoby platformy Azure w tej samej grupie zasobów, w tym maszynę wirtualną z wystąpieniem aplikacji klienckiej. Uruchom polecenie az group create , aby utworzyć grupę zasobów lub użyć istniejącej grupy zasobów:
az group create --name attestationrg --location uksouth
Tworzenie dostawcy zaświadczania i zarządzanie nim
Poniżej przedstawiono polecenia, których można użyć do utworzenia dostawcy zaświadczania i zarządzania nim:
Uruchom polecenie az attestation create , aby utworzyć dostawcę zaświadczania bez wymagania dotyczącego podpisywania zasad:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westusUruchom polecenie az attestation show , aby pobrać właściwości dostawcy zaświadczania, takie jak status i AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"To polecenie wyświetla wartości podobne do następujących danych wyjściowych:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Możesz usunąć dostawcę zaświadczania za pomocą polecenia az attestation delete :
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Zarządzanie zasadami
Użyj poleceń opisanych tutaj, aby zapewnić zarządzanie zasadami dla dostawcy zaświadczania, jeden typ zaświadczania naraz.
Polecenie az attestation policy show zwraca bieżące zasady dla określonego TEE:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Uwaga
Polecenie wyświetla zasady w formacie tekstowym i JWT.
Obsługiwane są następujące typy TEE:
SGX-IntelSDKSGX-OpenEnclaveSDKTPM
Użyj polecenia az attestation policy set , aby ustawić nowe zasady dla określonego typu zaświadczania.
Aby ustawić zasady w formacie tekstowym dla danego typu zaświadczania przy użyciu ścieżki pliku:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Aby ustawić zasady w formacie JWT dla danego typu zaświadczania przy użyciu ścieżki pliku:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT