AKV ve Azure Gizli Bilgi İşlem (ACC) ile Güvenli Anahtar Sürümü özelliği
Güvenli Anahtar Sürümü (SKR), Azure Key Vault (AKV) Yönetilen HSM ve Premium teklifinin bir işlevidir. Güvenli anahtar sürümü, HSM korumalı bir anahtarın AKV'den güvenli kapanım, VM tabanlı TEE'ler gibi doğrulanmış bir Güvenilen Yürütme Ortamına (TEE) yayımlanmasını sağlar. SKR, bir uygulamayı hedefleyebileceğiniz veri şifre çözme/şifreleme anahtarlarınıza başka bir erişim koruması katmanı ekler ve burada bir uygulamayı hedefleyebilirsiniz + TEE çalışma zamanı ortamını bilinen yapılandırmayla anahtar malzemeye erişim elde edin. Dışarı aktarılabilir anahtar oluşturma sırasında tanımlanan SKR ilkeleri bu anahtarlara erişimi yönetir.
AKV teklifleri ile SKR desteği
TEE ile Genel Güvenli Anahtar Yayın Akışı
SKR anahtarları yalnızca Microsoft Azure Doğrulama (MAA) tarafından oluşturulan taleplere göre yayımlayabilir. SKR ilke tanımında MAA taleplerine sıkı bir tümleştirme vardır.
Aşağıdaki adımlar AKV Premium içindir.
1. Adım: Key Vault Premium HSM Destekli oluşturma
Az CLI tabanlı AKV oluşturma işlemi için buradaki ayrıntıları izleyin
[--sku] değerini "premium" olarak ayarladığınızdan emin olun.
2. Adım: Güvenli Anahtar Yayın İlkesi Oluşturma
Güvenli Anahtar Yayın İlkesi, burada tanımlandığı gibi anahtarı serbest bırakmak için yetkilendirmeye ek olarak gerekli talep kümesini belirten bir json biçimli yayın ilkesidir. Buradaki talepler, SGX için burada ve AMD SEV-SNP CVM için burada belirtildiği gibi MAA tabanlı taleplerdir.
Daha fazla ayrıntı için TEE'ye özgü örnekler sayfasını ziyaret edin. SKR ilkesi dil bilgisi hakkında daha fazla bilgi için bkz . Azure Key Vault güvenli anahtar sürüm ilkesi dil bilgisi.
SKR ilkesi ayarlamadan önce TEE uygulamanızı uzak kanıtlama akışı üzerinden çalıştırdığınızdan emin olun. Uzaktan kanıtlama, bu öğreticinin bir parçası olarak ele alınmıyor.
Örnek
{
"version": "1.0.0",
"anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
3. Adım: Ekli SKR ilkesiyle AKV'de dışarı aktarılabilir anahtar oluşturma
Anahtar türünün tam ayrıntıları ve ilişkili diğer öznitelikler burada bulunabilir.
az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"
4. Adım: Uzaktan kanıtlama yapan bir TEE içinde çalışan uygulama
Bu adım, uygulamanızın Intel SGX Kuşatmalarını veya AMD SEV-SNP tabanlı Gizli Sanal Makineler (CVM) veya AMD SEV-SNP ile CVM Kuşatmalarında çalışan Gizli Kapsayıcılar'ı çalıştırdığınız TEE türüne özgü olabilir.
Azure ile sunulan çeşitli TEE türleri için şu başvuru örneklerini izleyin:
- AMD EV-SNP tabanlı CVM'nin Güvenli Anahtar Yayını gerçekleştirmesi içinde uygulama
- SKR yan araç kapsayıcıları ile Azure Container Instances (ACI) ile gizli kapsayıcılar
- Güvenli Anahtar Yayınını gerçekleştiren Intel SGX tabanlı uygulamalar - Açık Kaynak Çözümü Mystikos Uygulaması
Sık Sorulan Sorular (SSS)
Gizli olmayan bilgi işlem teklifleri ile SKR gerçekleştirebilir miyim?
Hayır. SKR'ye eklenen ilke yalnızca donanım tabanlı TEE'lerle ilişkili MAA taleplerini anlar.
Kendi kanıtlama sağlayıcımı veya hizmetimi getirebilir ve AKV'nin doğrulamasını ve yayınlanmasını sağlamak için bu talepleri kullanabilir miyim?
Hayır. AKV bugün yalnızca MAA'yi anlayıp tümleştirir.
Anahtar RELEASE gerçekleştirmek için AKV SDK'larını kullanabilir miyim?
Evet. 7.3 AKV API'lerinin destek anahtarı RELEASE ile tümleştirilmiş en son SDK.
Temel sürüm ilkelerine ilişkin bazı örnekleri paylaşabilir misiniz?
Evet, TEE türüne göre ayrıntılı örnekler burada listelenmiştir .
Sertifikalar ve gizli dizilerle SKR tür ilke ekleyebilir miyim?
Hayır. Şu anda hayır.
Başvurular
Gizli kapsayıcılara sahip Azure Container Instance Kapsayıcı yan araçlarıyla Güvenli Anahtar Sürümü
AMD SEV-SNP Uygulamalarında CVM Güvenli Anahtar Yayın Örneği
SKR Ayrıntıları ile AKV REST API
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin