Início Rápido: Configurar o Atestado do Azure com a CLI do Azure

Introdução ao Atestado do Azure usando a CLI do Azure.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Introdução

1. Instalar esta extensão usando o comando da CLI abaixo

   az extension add --name attestation
   

2. Verificar a versão

   az extension show --name attestation --query version
   

3. Use o seguinte comando para entrar no Azure:

   az login
   

4. Se necessário, alterne para a assinatura do Atestado do Azure:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Registre o provedor de recursos Microsoft.Attestation na assinatura com o comando az provider register:

   az provider register --name Microsoft.Attestation
   

   Para obter mais informações sobre os provedores de recursos do Azure e como configurá-los e gerenciá-los, confira Tipos e provedores de recursos do Azure.

   Observação

   Você só precisa registrar um provedor de recursos uma vez para uma assinatura.

6. Crie um grupo de recursos para o provedor de atestado. Coloque outros recursos do Azure no mesmo grupo de recursos, incluindo uma máquina virtual com uma instância do aplicativo cliente. Execute o comando az group create para criar um grupo de recursos ou use um grupo de recursos existente:

   az group create --name attestationrg --location uksouth
   

Criar e gerenciar um provedor de atestado

Estes são os comandos que você pode usar para criar e gerenciar o provedor de atestado:

1. Execute o comando az attestation create para criar um provedor de atestado sem o requisito de assinatura de política:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Execute o comando az attestation show para recuperar as propriedades do provedor de atestado, como status e AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Esse comando exibe valores como a seguinte saída:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Exclua um provedor de atestado usando o comando az attestation delete:

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gerenciamento de política

Use os comandos descritos aqui para fornecer o gerenciamento de política para um provedor de atestado, um tipo de atestado de cada vez.

O comando az attestation policy show retorna a política atual para o TEE especificado:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Observação

O comando exibe a política no formato de texto e JWT.

Estes são os tipos de TEE compatíveis:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Use o comando az attestation policy set para definir uma nova política para o tipo de atestado especificado.

Para definir a política no formato de texto para determinado tipo de atestado usando o caminho do arquivo:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Para definir a política no formato JWT para determinado tipo de atestado usando o caminho do arquivo:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Próximas etapas

• Como criar e assinar uma política de atestado
• Implementar o atestado com um enclave do SGX usando exemplos de código