Snabbstart: Konfigurera Azure Attestation med Azure CLI

Kom igång med Azure Attestation med hjälp av Azure CLI.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Kom igång

1. Installera det här tillägget med cli-kommandot nedan

   az extension add --name attestation
   

2. Kontrollera versionen

   az extension show --name attestation --query version
   

3. Använd följande kommando för att logga in på Azure:

   az login
   

4. Om det behövs växlar du till prenumerationen för Azure Attestation:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Registrera resursprovidern Microsoft.Attestation i prenumerationen med kommandot az provider register :

   az provider register --name Microsoft.Attestation
   

   Mer information om Azure-resursproviders och hur du konfigurerar och hanterar dem finns i Azure-resursprovidrar och -typer.

   Anteckning

   Du behöver bara registrera en resursprovider en gång för en prenumeration.

6. Skapa en resursgrupp för attesteringsprovidern. Du kan placera andra Azure-resurser i samma resursgrupp, inklusive en virtuell dator med en klientprograminstans. Kör kommandot az group create för att skapa en resursgrupp eller använd en befintlig resursgrupp:

   az group create --name attestationrg --location uksouth
   

Skapa och hantera en attesteringsprovider

Här följer kommandon som du kan använda för att skapa och hantera attesteringsprovidern:

1. Kör kommandot az attestation create för att skapa en attesteringsprovider utan krav på principsignering:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Kör kommandot az attestation show för att hämta attesteringsprovideregenskaper som status och AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Det här kommandot visar värden som följande utdata:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Du kan ta bort en attesteringsprovider med hjälp av kommandot az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Principhantering

Använd de kommandon som beskrivs här för att tillhandahålla principhantering för en attesteringsprovider, en attesteringstyp i taget.

Kommandot az attestation policy show returnerar den aktuella principen för den angivna TEE:en:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Anteckning

Kommandot visar principen i både text- och JWT-format.

Följande typer av TEE stöds:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Använd kommandot az attestation policy set för att ange en ny princip för den angivna attesteringstypen.

Så här anger du en princip i textformat för en viss typ av attesteringstyp med hjälp av filsökvägen:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Så här anger du principen i JWT-format för en viss typ av attesteringstyp med hjälp av filsökvägen:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Nästa steg

• Skapa och signera en attesteringsprincip
• Implementera attestering med en SGX-enklaver med hjälp av kodexempel