Recursos e funções da Assinatura Confiável
A Assinatura Confiável é um recurso nativo do Azure que oferece suporte total para conceitos comuns do Azure, como recursos. Como com qualquer outro recurso do Azure, a Assinatura Confiável também tem seu próprio conjunto de recursos e funções que são projetados para simplificar o gerenciamento do serviço.
Este artigo apresenta recursos e funções específicos da Assinatura Confiável.
Tipos de recursos da Assinatura Confiável
A assinatura confiável tem os seguintes tipos de recursos:
Conta da Assinatura Confiável: a conta é um contêiner lógico de todos os recursos que você precisa para concluir a assinatura e gerenciar os controles de acesso aos recursos confidenciais.
Validação de identidade: a validação de identidade realiza a verificação da identidade da sua organização ou indivíduo antes que você possa assinar o código. A organização verificada ou a identidade individual é a origem dos atributos para os valores de DN (Nome Diferenciado) da Entidade do perfil de certificado (por exemplo,
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). As funções de validação de identidade são atribuídas às identidades no locatário para criar esses recursos.Perfis de certificado: os perfis de certificado são os atributos de configuração que geram os certificados que você usa para assinar o código. Eles também definem o modelo de confiança e o cenário em que o conteúdo assinado é consumido pelas partes confiáveis. As funções de assinatura são atribuídas a esse recurso para autorizar as identidades no locatário a solicitar a assinatura. Um pré-requisito para a criação de qualquer perfil de certificado é ter pelo menos uma solicitação de validação de identidade concluída.
No exemplo de estrutura a seguir, uma assinatura do Azure tem um grupo de recursos. No grupo de recursos, você pode ter um ou vários recursos de conta de Assinatura Confiável com uma ou várias validações de identidade e perfis de certificado.
O serviço dá suporte à Confiança Pública, Confiança Privada, Política de CI (integridade de código), enclave de VBS (segurança baseada em virtualização) e tipos de assinatura de teste de Confiança Pública, portanto, é útil ter várias contas e perfis de certificado de Assinatura Confiável. Para obter mais informações sobre os tipos de perfil de certificado e como eles são usados, consulte Gerenciamento e tipos de certificados de Assinatura Confiável.
Observação
As validações de identidade e os perfis de certificado estão alinhados com a Confiança Pública ou Confiança Privada. Uma validação de identidade de Confiança Pública só é usada para perfis de certificado que são usados para o modelo de Confiança Pública. Para obter mais informações, consulte Modelos confiáveis de Assinatura Confiável.
Conta de Assinatura Confiável
A conta de Assinatura Confiável é um contêiner lógico dos recursos usados para fazer a assinatura de certificado. As contas de Assinatura Confiável podem ser usadas para definir os limites de um projeto ou organização. Na maioria dos casos, uma única conta de Assinatura Confiável pode atender a todas as necessidades de assinatura de um indivíduo ou organização. Você pode assinar muitos artefatos que são distribuídos pela mesma identidade (por exemplo, Contoso News, LLC), mas, operacionalmente, pode haver limites que você deseja estabelecer em termos de acesso à assinatura. Você pode optar por ter uma conta de Assinatura Confiável por produto ou por equipe para isolar como uma conta é usada ou para acompanhar a assinatura. No entanto, você também pode alcançar esse padrão de isolamento no nível do perfil de certificado.
Validações de identidade
As validações de identidade têm como objetivo estabelecer a identidade dos certificados usados para assinatura. Há dois tipos: Confiança Pública e Confiança Privada. O que define esses dois tipos é o nível de validação de identidade necessário para concluir a criação de um recurso de validação de identidade.
Confiança Pública significa que todos os valores de identidade devem ser validados de acordo com a Instrução de Prática de Certificação de Terceiros (CPS) do Serviços PKI da Microsoft. Esse requisito se alinha com as expectativas para certificados de assinatura de código publicamente confiáveis.
Confiança Privada destina-se a situações em que há uma confiança estabelecida em uma identidade privada em uma ou mais partes confiáveis (consumidores de assinaturas) ou internamente em cenários de controle de aplicativos ou de Linha de Negócios (LOB). Com as validações de identidade de Confiança Privada, há uma verificação mínima dos atributos de identidade (por exemplo, o valor
Organization Unit). A verificação está fortemente associada ao Locatário do Azure do assinante (por exemplo,Costoso.onmicrosoft.com). Os valores nos perfis de certificado de Confiança Privada não são validados além das informações do Locatário do Azure.
Para obter mais informações sobre Confiança Pública e Confiança Privada, consulte Modelos de confiança de Assinatura Confiável.
Perfis de certificado
A Assinatura Confiável fornece um total de cinco tipos de perfil de certificado que todos os assinantes podem usar com os recursos de validação de identidade alinhados e concluídos. Esses cinco perfis de certificado estão alinhados às validações de identidade de Confiança Pública ou Confiança Privada da seguinte maneira:
- Confiança Pública
Confiança Pública: usada para assinar códigos e artefatos que podem ser distribuídos publicamente. Esse perfil de certificado é o padrão confiável na plataforma Windows para assinatura de código.
Enclave VBS: usado para assinar enclaves de Segurança baseados em Virtualização no Windows.
Teste de Confiança Pública: usado somente para assinatura de teste e não é publicamente confiável por padrão. Considere os perfis de certificado de Teste de Confiança Pública como uma ótima opção para assinatura de compilação de loop interno.
Observação
Todos os certificados sob esse tipo de perfil de certificado de Teste de Confiança Pública incluem o EKU de Tempo de Vida (
1.3.6.1.4.1.311.10.3.13), que força a validação a respeitar o tempo de vida do certificado de assinatura, independentemente da presença de uma referenda de carimbo de data/hora válida.
- Confiança Privada
- Confiança Privada: usada para assinar artefatos internos ou privados, como contêineres e aplicativos de linha de negócios. Você também pode usá-lo para assinar arquivos de catálogo no Controle de Aplicativos para Empresas.
- Política de CI de Confiança Privada: o perfil de certificado da Política de CI de Confiança Privada é o único tipo que não inclui o EKU de assinatura de código (
1.3.6.1.5.5.7.3.3). Esse perfil de certificado foi projetado para assinar arquivos de política de CI do Controle de Aplicativos para Negócios.
Funções com suporte
Os Controles de Acesso Baseados em Função (RBAC) são um conceito fundamental para todos os recursos do Azure. A Assinatura Confiável adiciona duas funções personalizadas para atender às necessidades dos assinantes de criar uma validação de identidade (função de Verificador de Identidade de Assinatura Confiável) e para assinar com perfis de certificado (a função de Signatário de Perfil de Certificado de Assinatura Confiável). Essas funções personalizados devem ser explicitamente atribuídas para realizar essas duas funções críticas ao usar a Assinatura Confiável. A tabela a seguir contém uma lista completa das funções que a Assinatura Confiável dá suporte e seus recursos, incluindo todas as funções padrão do Azure.
| Função | Gerenciar e exibir conta | Gerenciar perfis de certificado | Assinar usando um perfil de certificado | Exibir histórico de assinaturas | Gerenciar atribuição de função | Gerenciar validação de identidade |
|---|---|---|---|---|---|---|
| Verificador de Identidade de Assinatura Confiável 1 | X | |||||
| Signatário do Perfil de Certificado de Assinatura Confiável 2 | X | X | ||||
| Proprietário | X | X | X | |||
| Colaborador | X | X | ||||
| Leitor | X | |||||
| Administrador de Acesso do Usuário | X |
1 Necessário para criar ou gerenciar a validação de identidade. Disponível apenas no portal do Azure.
2 Necessário para assinar com sucesso ao usar a Assinatura Confiável.
Conteúdo relacionado
- Conclua o início rápido para configurar a Assinatura Confiável.
- Saiba mais sobre Modelos de confiança de Assinatura Confiável.
- Examine o conceito de Gerenciamento e certificados de Assinatura Confiável.