Exempel på principexempel för säker nyckelutgivning för konfidentiell databehandling i Azure
Secure Key Release (SKR) kan bara frigöra exporterbara markerade nycklar baserat på de MAA-genererade anspråken (Microsoft Azure Attestation). Det finns en nära integrering av SKR-principdefinitionen till MAA-anspråk. MAA-anspråk från en betrodd körningsmiljö (TEE) finns här.
Följ princip grammatiken för fler exempel på hur du kan anpassa SKR-principerna.
Intel SGX Application Enclaves SKR-principexempel
Exempel 1: Intel SGX-baserad SKR-princip som validerar informationen om MR Signer (SGX-enklaver) som en del av MAA-anspråken
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Exempel 2: Intel SGX-baserad SKR-princip som validerar MR Signer (SGX-enklaversignerare) eller MR Enclave-information som en del av MAA-anspråken
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Exempel 3: Intel SGX-baserad SKR-princip som validerar MR Signer (SGX enclave signer) och MR Enclave med minsta SVN-nummerinformation som en del av MAA-anspråken
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Exempel på KONFIDENTIELL VM AMD SEV-SNP-baserad VIRTUELL DATOR TEE SKR-principexempel
Exempel 1: En SKR-princip som verifierar om detta är Azure-kompatibel CVM och körs på en äkta AMD SEV-SNP-maskinvara och MAA-URL-utfärdaren är spridd över många regioner.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Exempel 2: En SKR-princip som verifierar om CVM är en Azure-kompatibel CVM och körs på en äkta AMD SEV-SNP-maskinvara och är av ett känt virtuellt dator-ID. (VM-ID:n är unika i Hela Azure)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Exempel på konfidentiella containrar på Azure Container Instances (ACI) SKR-principexempel
Exempel 1: Konfidentiella containrar på ACI som validerar de containrar som initieras och metadata för containerkonfiguration som en del av containergruppens start med ytterligare valideringar om att detta är en AMD SEV-SNP-maskinvara.
Kommentar
Containermetadata är en rego-baserad principhash som återspeglas som i det här exemplet..
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}