AKV ve Azure Gizli Bilgi İşlem (ACC) ile Güvenli Anahtar Sürümü özelliği

Makale
10/26/2023

Güvenli Anahtar Sürümü (SKR), Azure Key Vault (AKV) Yönetilen HSM ve Premium teklifinin bir işlevidir. Güvenli anahtar sürümü, HSM korumalı bir anahtarın AKV'den güvenli kapanım, VM tabanlı TEE'ler gibi doğrulanmış bir Güvenilen Yürütme Ortamına (TEE) yayımlanmasını sağlar. SKR, bir uygulamayı hedefleyebileceğiniz veri şifre çözme/şifreleme anahtarlarınıza başka bir erişim koruması katmanı ekler ve burada bir uygulamayı hedefleyebilirsiniz + TEE çalışma zamanı ortamını bilinen yapılandırmayla anahtar malzemeye erişim elde edin. Dışarı aktarılabilir anahtar oluşturma sırasında tanımlanan SKR ilkeleri bu anahtarlara erişimi yönetir.

AKV teklifleri ile SKR desteği

TEE ile Genel Güvenli Anahtar Yayın Akışı

SKR anahtarları yalnızca Microsoft Azure Doğrulama (MAA) tarafından oluşturulan taleplere göre yayımlayabilir. SKR ilke tanımında MAA taleplerine sıkı bir tümleştirme vardır.

Diagram of Secure Key Release Flow.

Aşağıdaki adımlar AKV Premium içindir.

1. Adım: Key Vault Premium HSM Destekli oluşturma

Az CLI tabanlı AKV oluşturma işlemi için buradaki ayrıntıları izleyin

[--sku] değerini "premium" olarak ayarladığınızdan emin olun.

2. Adım: Güvenli Anahtar Yayın İlkesi Oluşturma

Güvenli Anahtar Yayın İlkesi, burada tanımlandığı gibi anahtarı serbest bırakmak için yetkilendirmeye ek olarak gerekli talep kümesini belirten bir json biçimli yayın ilkesidir. Buradaki talepler, SGX için burada ve AMD SEV-SNP CVM için burada belirtildiği gibi MAA tabanlı taleplerdir.

Daha fazla ayrıntı için TEE'ye özgü örnekler sayfasını ziyaret edin. SKR ilkesi dil bilgisi hakkında daha fazla bilgi için bkz . Azure Key Vault güvenli anahtar sürüm ilkesi dil bilgisi.

SKR ilkesi ayarlamadan önce TEE uygulamanızı uzak kanıtlama akışı üzerinden çalıştırdığınızdan emin olun. Uzaktan kanıtlama, bu öğreticinin bir parçası olarak ele alınmıyor.

Örnek

{
    "version": "1.0.0",
    "anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
                {
                    "claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-isolation-tee.x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

3. Adım: Ekli SKR ilkesiyle AKV'de dışarı aktarılabilir anahtar oluşturma

Anahtar türünün tam ayrıntıları ve ilişkili diğer öznitelikler burada bulunabilir.

az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"

4. Adım: Uzaktan kanıtlama yapan bir TEE içinde çalışan uygulama

Bu adım, uygulamanızın Intel SGX Kuşatmalarını veya AMD SEV-SNP tabanlı Gizli Sanal Makineler (CVM) veya AMD SEV-SNP ile CVM Kuşatmalarında çalışan Gizli Kapsayıcılar'ı çalıştırdığınız TEE türüne özgü olabilir.

Azure ile sunulan çeşitli TEE türleri için şu başvuru örneklerini izleyin: