你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：使用 Azure CLI 设置 Azure 证明

通过使用 Azure CLI 开始使用 Azure 证明。

先决条件

如果没有 Azure 订阅，请在开始之前创建一个免费帐户。

入门

1. 使用以下 CLI 命令安装此扩展

   az extension add --name attestation
   

2. 检查版本

   az extension show --name attestation --query version
   

3. 使用以下命令登录到 Azure：

   az login
   

4. 如果需要，请切换到 Azure 证明的订阅：

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. 在订阅中，使用 az provider register 命令注册 Microsoft.Attestation 资源提供程序：

   az provider register --name Microsoft.Attestation
   

   有关 Azure 资源提供程序以及如何配置和管理它们的详细信息，请参阅 Azure 资源提供程序和类型。

   注意

   仅需为订阅注册一次资源提供程序。

6. 为证明提供程序创建资源组。 可将其他 Azure 资源（包括具有客户端应用程序实例的虚拟机）放在同一资源组中。 运行 az group create 命令创建资源组或使用现有资源组：

   az group create --name attestationrg --location uksouth
   

创建和管理证明提供程序

可使用以下命令创建和管理证明提供程序：

1. 运行 az attestation create 命令，创建没有策略签名要求的证明提供程序：

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. 运行 az attestation show 命令检索证明提供程序属性（例如 status 和 AttestURI）：

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   此命令显示类似于以下输出的值：

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

可使用 az attestation delete 命令删除证明提供程序：

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

策略管理

使用此处所述的命令可为证明提供程序（一次一个证明类型）提供策略管理。

az attestation policy show 命令返回指定 TEE 的当前策略：

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

注意

此命令以文本和 JWT 格式显示策略。

以下是支持的 TEE 类型：

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

使用 az attestation policy set 命令为指定的证明类型设置新策略。

若要使用文件路径以文本格式为给定类型的证明设置策略，请运行以下命令：

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

若要使用文件路径以 JWT 格式为给定类型的证明设置策略，请运行以下命令：

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

后续步骤

• 如何创作证明策略并对其签名
• 使用代码示例通过 SGX enclave 实现证明