Início Rápido: Configurar Azure Attestation com a CLI do Azure
Comece a utilizar Azure Attestation com a CLI do Azure.
Pré-requisitos
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Introdução
Instale esta extensão com o comando da CLI abaixo
az extension add --name attestation
Verificar a versão
az extension show --name attestation --query version
Utilize o seguinte comando para iniciar sessão no Azure:
az login
Se necessário, mude para a subscrição para Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000
Registe o fornecedor de recursos Microsoft.Attestation na subscrição com o comando az provider register :
az provider register --name Microsoft.Attestation
Para obter mais informações sobre os fornecedores de recursos do Azure e como configurá-los e geri-los, veja Fornecedores e tipos de recursos do Azure.
Nota
Só precisa de registar um fornecedor de recursos uma vez para uma subscrição.
Crie um grupo de recursos para o fornecedor de atestado. Pode colocar outros recursos do Azure no mesmo grupo de recursos, incluindo uma máquina virtual com uma instância de aplicação cliente. Execute o comando az group create para criar um grupo de recursos ou utilize um grupo de recursos existente:
az group create --name attestationrg --location uksouth
Criar e gerir um fornecedor de atestado
Eis os comandos que pode utilizar para criar e gerir o fornecedor de atestado:
Execute o comando az attestation create para criar um fornecedor de atestado sem o requisito de assinatura de políticas:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
Execute o comando az attestation show para obter as propriedades do fornecedor de atestado, como o estado e o AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
Este comando apresenta valores como o seguinte resultado:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Pode eliminar um fornecedor de atestado com o comando az attestation delete :
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Gestão de políticas
Utilize os comandos descritos aqui para fornecer gestão de políticas para um fornecedor de atestado, um tipo de atestado de cada vez.
O comando az attestation policy show devolve a política atual para o TEE especificado:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Nota
O comando apresenta a política no formato de texto e JWT.
Seguem-se os tipos de TEE suportados:
SGX-IntelSDK
SGX-OpenEnclaveSDK
TPM
Utilize o comando az attestation policy set para definir uma nova política para o tipo de atestado especificado.
Para definir a política no formato de texto para um determinado tipo de atestado com o caminho do ficheiro:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Para definir a política no formato JWT para um determinado tipo de atestado com o caminho do ficheiro:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT