你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 机密计算的安全密钥发布策略示例
安全密钥发布 (SKR) 只能根据 Microsoft Azure 证明 (MAA) 生成的声明发布可导出的标记密钥。 SKR 策略定义与 MAA 声明紧密集成。 可以在此处找到受信任执行环境 (TEE) 的 MAA 声明。
请参阅策略语法,获取有关如何自定义 SKR 策略的更多示例。
Intel SGX 应用程序飞地 SKR 策略示例
示例 1:基于 Intel SGX 的 SKR 策略,验证作为 MAA 声明的一部分的 MR 签名者(SGX 飞地签名者)详细信息
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
示例 2:基于 Intel SGX 的 SKR 策略,验证作为 MAA 声明的一部分的 MR 签名者(SGX 飞地签名者)或 MR 飞地详细信息
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
示例 3:基于 Intel SGX 的 SKR 策略,验证作为 MAA 声明的一部分的 MR 签名者(SGX 飞地签名者)和 MR 飞地(包含一个最小 SVN 编号)详细信息
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
基于机密 VM AMD SEV-SNP 的 VM TEE SKR 策略示例
示例 1:SKR 策略验证这是否是符合 Azure 标准的 CVM、是否在正版 AMD SEV-SNP 硬件上运行,以及 MAA URL 机构是否分布在许多区域。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
示例 2:SKR 策略验证 CVM 是否为符合 Azure 标准的 CVM、是否在正版 AMD SEV-SNP 硬件上运行,以及是否具有已知的虚拟机 ID。 (VMID 在 Azure 中是独一无二的)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Azure 容器实例 (ACI) 上的机密容器 SKR 策略示例
示例 1:ACI 上的机密容器验证已启动的容器和容器配置元数据(作为容器组启动的一部分),并进行附加验证以确认这是 AMD SEV-SNP 硬件。
注意
容器元数据是基于 rego 的策略哈希,如此示例所示。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}