Примеры политики выпуска безопасного ключа для конфиденциальных вычислений Azure
Защищенный выпуск ключей (SKR) может выпускать только экспортируемые ключи на основе созданных утверждений microsoft Аттестация Azure (MAA). Существует жесткая интеграция с определением политики SKR с утверждениями MAA. Утверждения MAA по доверенной среде выполнения (TEE) можно найти здесь.
Следуйте грамматике политики, чтобы узнать больше о том, как настроить политики SKR.
Примеры политики политики SKR приложений Intel SGX
Пример 1. Политика SKR на основе Intel SGX, проверяющая сведения о подписывателье mr (SGX анклава) в рамках утверждений MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Пример 2. Политика SKR на основе Intel SGX, проверяющая подпись MR (подписыватель анклава SGX) или сведения об анклавах MR в рамках утверждений MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Пример 3. Политика SKR на основе Intel SGX, проверяющая подпись MR (подписыватель анклава SGX) и MR Анклава с минимальными сведениями о номере SVN в рамках утверждений MAA
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Примеры политики SEV-SNP на основе виртуальной машины TEE SKR для конфиденциальной виртуальной машины AMD
Пример 1. Политика SKR, которая проверяет, соответствует ли это Azure CVM и работает на подлинном оборудовании AMD SEV-SNP, а центр URL-адреса MAA распространяется во многих регионах.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Пример 2. Политика SKR, которая проверяет, соответствует ли CVM Azure требованиям CVM и работает на подлинном оборудовании AMD SEV-SNP и имеет известный идентификатор виртуальной машины. (VMID являются уникальными в Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Примеры политики SKR для конфиденциальных контейнеров в Экземпляры контейнеров Azure (ACI)
Пример 1. Конфиденциальные контейнеры в ACI, проверяющие инициированные контейнеры и метаданные конфигурации контейнеров в рамках запуска группы контейнеров с добавленными проверками, что это оборудование AMD SEV-SNP.
Примечание.
Метаданные контейнеров — это хэш политики на основе рего, отраженный в этом примере.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}