快速入門：使用 Azure CLI 設定 Azure 證明

使用 Azure CLI 開始使用 Azure 證明。

必要條件

如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

開始使用

1. 使用下列 CLI 命令安裝此擴充功能

   az extension add --name attestation
   

2. 檢查版本

   az extension show --name attestation --query version
   

3. 使用下列命令以登入 Azure：

   az login
   

4. 如有需要，請切換至 Azure 證明的訂用帳戶：

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. 使用 az provider register 命令，在訂用帳戶中註冊 Microsoft.Attestation 資源提供者：

   az provider register --name Microsoft.Attestation
   

   如需關於 Azure 資源提供者和如何加以設定及管理的詳細資訊，請參閱 Azure 資源提供者和類型。

   注意

   一個訂用帳戶只需註冊一個資源提供者。

6. 為證明提供者建立資源群組。 您可以將其他 Azure 資源放在相同的資源群組中，包括具有用戶端應用程式執行個體的虛擬機器。 執行 az group create 命令以建立資源群組，或使用現有的資源群組：

   az group create --name attestationrg --location uksouth
   

建立和管理證明提供者

以下是可用來建立和管理證明提供者的命令：

1. 執行 az attestation create 命令來建立證明提供者，而不需原則簽署需求:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. 執行 az attestation show 命令以擷取證明提供者屬性，例如 status 和 AttestURI：

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   此命令會顯示類似於下列輸出的值：

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

您可以使用 az attestation delete 命令來刪除證明提供者：

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

原則管理

使用此處說明的命令，為證明提供者提供原則管理 (一次一個證明類型)。

az attestation policy show 命令會針對指定的 TEE 傳回目前的原則：

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

注意

此命令會同時以文字和 JWT 格式顯示原則。

以下是支援的 TEE 類型：

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

使用 az attestation policy set 命令，為指定的證明類型設定新原則。

若要使用檔案路徑為指定證明類型設定文字格式的原則：

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

若要使用檔案路徑為指定證明類型設定 JWT 格式的原則：

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

下一步

• 如何撰寫和簽署證明原則
• 使用程式碼範例實作 SGX 記憶體保護區的證明