Краткое руководство. Настройка службы "Аттестация Azure" с помощью Azure CLI
Начните работу со службой "Аттестация Azure" с помощью Azure CLI.
Предварительные требования
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Начало работы
Установите это расширение с помощью команды CLI, приведенной ниже.
az extension add --name attestationПроверка версии
az extension show --name attestation --query versionПримените следующую команду, чтобы войти в Azure:
az loginЕсли нужно, перейдите к подписке для службы "Аттестация Azure":
az account set --subscription 00000000-0000-0000-0000-000000000000Зарегистрируйте в этой подписке поставщик ресурсов Microsoft.Attestation с помощью команды az provider register:
az provider register --name Microsoft.AttestationДополнительные сведения о поставщиках ресурсов Azure, настройке этих поставщиков и управлении ими см. в статье Поставщики и типы ресурсов Azure.
Примечание
Для каждой подписки поставщик ресурсов регистрируется однократно.
Создайте группу ресурсов для поставщика аттестации. В эту же группу ресурсов можно поместить и другие ресурсы Azure, в том числе виртуальные машины с экземплярами клиентского приложения. Выполните команду az group create, чтобы создать группу ресурсов, или примените существующую группу ресурсов:
az group create --name attestationrg --location uksouth
Создание поставщика аттестации и управление им
Ниже приведены команды, которые можно использовать для создания поставщика аттестации и управления им.
Выполните команду az attestation create, чтобы создать поставщик аттестации с требованием подписывания политик:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westusВыполните команду az attestation show, чтобы получить сведения о свойствах поставщика аттестации, включая сведения о состоянии и URI аттестации:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"С помощью этой команды отображаются значения, аналогичные приведенным ниже:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Поставщик аттестации можно удалить с помощью команды az attestation delete:
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Управление политикой
Управлять политиками для поставщика аттестации можно с помощью описанных здесь команд (один тип аттестации за раз).
Команда az attestation policy show возвращает текущую политику для указанной среды TEE:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Примечание
С помощью этой команды политика отображается в форматах текста и JWT.
Поддерживаются следующие типы TEE:
SGX-IntelSDKSGX-OpenEnclaveSDKTPM
Используйте команду az attestation policy set, чтобы задать новую политику для указанного типа аттестации.
Чтобы задать политику в текстовом формате для заданного типа аттестации с помощью пути к файлу, сделайте следующее:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Чтобы задать политику в формате JWT для заданного типа аттестации с помощью пути к файлу, сделайте следующее:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT