Início Rápido: Configurar Azure Attestation com a CLI do Azure

Comece a utilizar Azure Attestation com a CLI do Azure.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Introdução

1. Instale esta extensão com o comando da CLI abaixo

   az extension add --name attestation
   

2. Verificar a versão

   az extension show --name attestation --query version
   

3. Utilize o seguinte comando para iniciar sessão no Azure:

   az login
   

4. Se necessário, mude para a subscrição para Azure Attestation:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Registe o fornecedor de recursos Microsoft.Attestation na subscrição com o comando az provider register :

   az provider register --name Microsoft.Attestation
   

   Para obter mais informações sobre os fornecedores de recursos do Azure e como configurá-los e geri-los, veja Fornecedores e tipos de recursos do Azure.

   Nota

   Só precisa de registar um fornecedor de recursos uma vez para uma subscrição.

6. Crie um grupo de recursos para o fornecedor de atestado. Pode colocar outros recursos do Azure no mesmo grupo de recursos, incluindo uma máquina virtual com uma instância de aplicação cliente. Execute o comando az group create para criar um grupo de recursos ou utilize um grupo de recursos existente:

   az group create --name attestationrg --location uksouth
   

Criar e gerir um fornecedor de atestado

Eis os comandos que pode utilizar para criar e gerir o fornecedor de atestado:

1. Execute o comando az attestation create para criar um fornecedor de atestado sem o requisito de assinatura de políticas:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Execute o comando az attestation show para obter as propriedades do fornecedor de atestado, como o estado e o AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Este comando apresenta valores como o seguinte resultado:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Pode eliminar um fornecedor de atestado com o comando az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gestão de políticas

Utilize os comandos descritos aqui para fornecer gestão de políticas para um fornecedor de atestado, um tipo de atestado de cada vez.

O comando az attestation policy show devolve a política atual para o TEE especificado:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Nota

O comando apresenta a política no formato de texto e JWT.

Seguem-se os tipos de TEE suportados:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Utilize o comando az attestation policy set para definir uma nova política para o tipo de atestado especificado.

Para definir a política no formato de texto para um determinado tipo de atestado com o caminho do ficheiro:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Para definir a política no formato JWT para um determinado tipo de atestado com o caminho do ficheiro:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Passos seguintes

• Como criar e assinar uma política de atestado
• Implementar um atestado com um enclave SGX com exemplos de código