Gizli Bilgi İşlem (ACC) için Güvenli Anahtar Sürüm İlkesi (SKR) Örnekleri
SKR yalnızca Microsoft Azure Doğrulama (MAA) tarafından oluşturulan taleplere göre dışarı aktarılabilir işaretli anahtarları serbest bırakabilir. SKR ilke tanımında MAA taleplerine sıkı bir tümleştirme vardır. Güvenilen yürütme ortamı (TEE) tarafından maa talepleri burada bulunabilir .
SKR ilkelerini nasıl özelleştirebileceğiniz hakkında daha fazla örnek için ilke dil bilgisini izleyin.
Intel SGX Application Enclaves SKR ilke örnekleri
Örnek 1: MAA taleplerinin bir parçası olarak MR İmzalayan (SGX kapanım imzalayan) ayrıntılarını doğrulayan Intel SGX tabanlı SKR ilkesi
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Örnek 2: MAA taleplerinin bir parçası olarak MR İmzalayanı (SGX kapanım imzalayan) veya MR Kapanım ayrıntılarını doğrulayan Intel SGX tabanlı SKR ilkesi
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
Örnek 3: MAA taleplerinin bir parçası olarak en az SVN numarası ayrıntılarıyla MR İmzalayan (SGX kapanım imzalayan) ve MR Kapanımını doğrulayan Intel SGX tabanlı SKR ilkesi
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
Gizli VM AMD SEV-SNP tabanlı VM TEE SKR ilke örnekleri
Örnek 1: Bunun Azure uyumlu CVM olup olmadığını doğrulayan ve orijinal BIR AMD SEV-SNP donanımında çalışıp çalışmadığını ve MAA URL yetkilisinin birçok bölgeye yayıldığını doğrulayan bir SKR ilkesi.
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
Örnek 2: CVM'nin Azure uyumlu bir CVM olup olmadığını ve orijinal AMD SEV-SNP donanımında çalışıp çalışmadığını ve bilinen bir Sanal Makine Kimliğine sahip olup olmadığını doğrulayan bir SKR ilkesi. (VMID'ler Azure genelinde benzersizdir)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Azure Container Instances (ACI) SKR ilkesi örneklerindeki gizli kapsayıcılar
Örnek 1: ACI'da başlatılan kapsayıcıları doğrulayan gizli kapsayıcılar ve kapsayıcı grubu başlatma işleminin bir parçası olarak kapsayıcı yapılandırma meta verileri ve bunun AMD SEV-SNP donanımı olduğuna ilişkin ek doğrulamalar.
Dekont
Kapsayıcı meta verileri, bu örnekteki gibi yansıtılan bir rego tabanlı ilke karmasıdır...
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}