Azure 機密運算的安全密鑰發行原則範例
安全金鑰發行 (SKR) 只能根據產生的Microsoft Azure 證明 (MAA) 宣告釋放可導出的標記密鑰。 MAA 宣告與 SKR 原則定義之間緊密整合。 您可以在這裡找到受信任執行環境 (TEE) 的 MAA 宣告。
請遵循原則文法,以取得如何自訂 SKR 原則的更多範例。
Intel SGX 應用程式記憶體保護區 SKR 原則範例
範例 1:INTEL SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 詳細數據
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
範例 2:INTEL SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 或 MR 記憶體保護區詳細數據
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
範例 3:Intel SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 和 MR 記憶體保護區,其中包含最小 SVN 號碼詳細數據
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
機密 VM AMD SEV-SNP 型 VM TEE SKR 原則範例
範例 1:一個 SKR 原則,以驗證是否符合 Azure 規範的 CVM,並在真正的 AMD SEV-SNP 硬體上執行,且 MAA URL 授權單位分散到許多區域。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
範例 2:一個 SKR 原則,以驗證 CVM 是否為符合 Azure 規範的 CVM,並在真正的 AMD SEV-SNP 硬體上執行,且為已知的虛擬機器識別碼。 (VMID 在 Azure 中是唯一的)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Azure 容器執行個體 (ACI) SKR 原則範例上的機密容器
範例 1:ACI 上的機密容器,驗證起始的容器和容器組態中繼資料,做為容器群組啟動的一部分,並新增了「這是 AMD SEV-SNP 硬體」的驗證。
注意
容器中繼資料是以 rego 為基礎的原則雜湊,如本範例所示。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}