Przykłady zasad bezpiecznego wydania klucza (SKR) na potrzeby poufnego przetwarzania (ACC)
Skr może zwalniać tylko wyeksportowane klucze oznaczone na podstawie oświadczeń wygenerowanych przez usługę Microsoft Azure Attestation (MAA). Istnieje ścisła integracja definicji zasad SKR z oświadczeniami MAA. Oświadczenia MAA według zaufanego środowiska wykonawczego (TEE) można znaleźć tutaj.
Postępuj zgodnie z gramatyką zasad, aby uzyskać więcej przykładów dotyczących dostosowywania zasad SKR.
Przykłady zasad SKR enklawy aplikacji Intel SGX
Przykład 1: Zasady SKR oparte na intel SGX weryfikacji mr signer (SGX enclave signer) szczegóły w ramach oświadczeń MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Przykład 2: Zasady SKR oparte na intel SGX weryfikacji mr signer (SGX enclave signer) lub MR enklawy w ramach oświadczeń MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Przykład 3: Zasady SKR oparte na Intel SGX weryfikowanie podpisywania MR (enclave SGX) i enklawy MR z minimalną liczbą SVN w ramach oświadczeń MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Przykłady zasad TEE SKR maszyny wirtualnej opartej na maszynie wirtualnej AMD SEV-SNP
Przykład 1: Zasady SKR, które sprawdzają, czy jest to zgodne cvM platformy Azure i działa na oryginalnym sprzęcie AMD SEV-SNP, a urząd adresu URL MAA jest rozłożony w wielu regionach.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Przykład 2: zasady SKR, które weryfikują, czy CVM jest zgodnym z platformą Azure CVM i działa na oryginalnym sprzęcie AMD SEV-SNP i jest znanym identyfikatorem maszyny wirtualnej. (Identyfikatory VMID są unikatowe na platformie Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Przykłady zasad SKR w kontenerach poufnych w usłudze Azure Container Instances (ACI)
Przykład 1: Poufne kontenery w usłudze ACI weryfikowanie zainicjowanych kontenerów i metadanych konfiguracji kontenerów w ramach uruchamiania grupy kontenerów z dodanymi walidacjami, które są sprzętem AMD SEV-SNP.
Uwaga
Metadane kontenerów to skrót zasad oparty na rego, jak pokazano w tym przykładzie.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}
Odwołania
Zaświadczenie platformy Microsoft Azure (MAA)
Pojęcia dotyczące bezpiecznego klucza wydania i podstawowe kroki