Compartilhar via


Início Rápido: Configurar o Atestado do Azure com a CLI do Azure

Introdução ao Atestado do Azure usando a CLI do Azure.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Introdução

  1. Instalar esta extensão usando o comando da CLI abaixo

    az extension add --name attestation
    
  2. Verificar a versão

    az extension show --name attestation --query version
    
  3. Use o seguinte comando para entrar no Azure:

    az login
    
  4. Se necessário, alterne para a assinatura do Atestado do Azure:

    az account set --subscription 00000000-0000-0000-0000-000000000000
    
  5. Registre o provedor de recursos Microsoft.Attestation na assinatura com o comando az provider register:

    az provider register --name Microsoft.Attestation
    

    Para obter mais informações sobre os provedores de recursos do Azure e como configurá-los e gerenciá-los, confira Tipos e provedores de recursos do Azure.

    Observação

    Você só precisa registrar um provedor de recursos uma vez para uma assinatura.

  6. Crie um grupo de recursos para o provedor de atestado. Coloque outros recursos do Azure no mesmo grupo de recursos, incluindo uma máquina virtual com uma instância do aplicativo cliente. Execute o comando az group create para criar um grupo de recursos ou use um grupo de recursos existente:

    az group create --name attestationrg --location uksouth
    

Criar e gerenciar um provedor de atestado

Estes são os comandos que você pode usar para criar e gerenciar o provedor de atestado:

  1. Execute o comando az attestation create para criar um provedor de atestado sem o requisito de assinatura de política:

    az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
    
  2. Execute o comando az attestation show para recuperar as propriedades do provedor de atestado, como status e AttestURI:

    az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
    

    Esse comando exibe valores como a seguinte saída:

    Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
    Location: MyLocation
    ResourceGroupName: MyResourceGroup
    Name: MyAttestationProvider
    Status: Ready
    TrustModel: AAD
    AttestUri: https://MyAttestationProvider.us.attest.azure.net
    Tags:
    TagsTable:
    

Exclua um provedor de atestado usando o comando az attestation delete:

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gerenciamento de política

Use os comandos descritos aqui para fornecer o gerenciamento de política para um provedor de atestado, um tipo de atestado de cada vez.

O comando az attestation policy show retorna a política atual para o TEE especificado:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Observação

O comando exibe a política no formato de texto e JWT.

Estes são os tipos de TEE compatíveis:

  • SGX-IntelSDK
  • SGX-OpenEnclaveSDK
  • TPM

Use o comando az attestation policy set para definir uma nova política para o tipo de atestado especificado.

Para definir a política no formato de texto para determinado tipo de atestado usando o caminho do arquivo:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Para definir a política no formato JWT para determinado tipo de atestado usando o caminho do arquivo:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Próximas etapas