Azure Gizli Bilgi İşlem için Güvenli Anahtar Yayın ilkesi örnekleri

Güvenli Anahtar Sürümü (SKR), yalnızca Microsoft Azure Doğrulama (MAA) tarafından oluşturulan taleplere göre dışarı aktarılabilir işaretli anahtarları serbest bırakabilir. SKR ilke tanımında MAA taleplerine sıkı bir tümleştirme vardır. Güvenilen yürütme ortamı (TEE) tarafından yapılan MAA talepleri burada bulunabilir.

SKR ilkelerini nasıl özelleştirebileceğiniz hakkında daha fazla örnek için ilke dil bilgisini izleyin.

Intel SGX Application Enclaves SKR ilke örnekleri

Örnek 1: MAA taleplerinin bir parçası olarak MR İmzalayan (SGX kapanım imzalayan) ayrıntılarını doğrulayan Intel SGX tabanlı SKR ilkesi


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Örnek 2: MAA taleplerinin bir parçası olarak MR Signer (SGX enclave imzalayan) veya MR Enclave ayrıntılarını doğrulayan Intel SGX tabanlı SKR politikası


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Örnek 3: MAA taleplerinin bir parçası olarak en az SVN numarası ayrıntılarıyla MR İmzalayan (SGX kapanım imzalayan) ve MR Kapanımını doğrulayan Intel SGX tabanlı SKR ilkesi

{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-svn",
          "greater": 1
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Gizli VM AMD SEV-SNP tabanlı VM TEE SKR ilke örnekleri

Örnek 1: Bunun Azure uyumlu CVM olup olmadığını doğrulayan ve orijinal BIR AMD SEV-SNP donanımında çalışıp çalışmadığını ve MAA URL yetkilisinin birçok bölgeye yayıldığını doğrulayan bir SKR ilkesi.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        },
        {
            "authority": "https://sharedeus2.weu2.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Örnek 2: CVM'nin Azure uyumlu bir CVM olup olmadığını ve orijinal AMD SEV-SNP donanımında çalışıp çalışmadığını ve bilinen bir Sanal Makine Kimliğine sahip olup olmadığını doğrulayan bir SKR ilkesi. (VMID'ler Azure genelinde benzersizdir, aşağıdaki örnekteki talebin 'eşittir' bölümünü istenen benzersiz VMID ile düzenleyin)

{
  "version": "1.0.0",
  "allOf": [
    {
      "authority": "https://sharedweu.weu.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-isolation-tee.x-ms-attestation-type",
          "equals": "sevsnpvm"
        },
        {
          "claim": "x-ms-isolation-tee.x-ms-compliance-status",
          "equals": "azure-compliant-cvm"
        },
        {
          "claim": "x-ms-azurevm-vmid",
          "equals": "<PLACE YOUR VMID here - for example - B958DC88-E41D-47F1-8D20-E57B6B7E9825>"
        }
      ]
    }
  ]
}

Azure Container Instances (ACI) SKR ilkesi örneklerindeki gizli kapsayıcılar

Örnek 1: ACI'da başlatılan kapsayıcıları doğrulayan gizli kapsayıcılar ve kapsayıcı grubu başlatma işleminin bir parçası olarak kapsayıcı yapılandırma meta verileri ve bunun AMD SEV-SNP donanımı olduğuna ilişkin ek doğrulamalar.

Uyarı

Kapsayıcıların meta verisi, bu örnekte olduğu gibi yansıtılan rego tabanlı bir ilke karmasıdır.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://fabrikam1.wus.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-uvm"
                },
                {
                    "claim": "x-ms-sevsnpvm-hostdata",
                    "equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
                }
            ]
        }
    ]
}

Kaynaklar

Microsoft Azure Doğrulama (MAA)

Güvenli Anahtar Sürüm Kavramı ve Temel Adımlar

  • Last updated on