共用方式為


Azure 機密運算的安全密鑰發行原則範例

安全金鑰發行 (SKR) 只能根據產生的Microsoft Azure 證明 (MAA) 宣告釋放可導出的標記密鑰。 MAA 宣告與 SKR 原則定義之間緊密整合。 您可以在這裡找到受信任執行環境 (TEE) 的 MAA 宣告。

請遵循原則文法,以取得如何自訂 SKR 原則的更多範例。

Intel SGX 應用程式記憶體保護區 SKR 原則範例

範例 1:INTEL SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 詳細數據


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

範例 2:INTEL SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 或 MR 記憶體保護區詳細數據


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

範例 3:Intel SGX 型 SKR 原則,用於在 MAA 宣告過程中驗證 MR 簽署者 (SGX 記憶體保護區簽署者) 和 MR 記憶體保護區,其中包含最小 SVN 號碼詳細數據

{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-svn",
          "greater": 1
        }
      ]
    }
  ],
  "version": "1.0.0"
}

機密 VM AMD SEV-SNP 型 VM TEE SKR 原則範例

範例 1:一個 SKR 原則,以驗證是否符合 Azure 規範的 CVM,並在真正的 AMD SEV-SNP 硬體上執行,且 MAA URL 授權單位分散到許多區域。

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        },
        {
            "authority": "https://sharedeus2.weu2.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

範例 2:一個 SKR 原則,以驗證 CVM 是否為符合 Azure 規範的 CVM,並在真正的 AMD SEV-SNP 硬體上執行,且為已知的虛擬機器識別碼。 (VMID 在 Azure 中是唯一的)

{
  "version": "1.0.0",
  "allOf": [
    {
      "authority": "https://sharedweu.weu.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-isolation-tee.x-ms-attestation-type",
          "equals": "sevsnpvm"
        },
        {
          "claim": "x-ms-isolation-tee.x-ms-compliance-status",
          "equals": "azure-compliant-cvm"
        },
        {
          "claim": "x-ms-azurevm-vmid",
          "equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
        }
      ]
    }
  ]
}

Azure 容器執行個體 (ACI) SKR 原則範例上的機密容器

範例 1:ACI 上的機密容器,驗證起始的容器和容器組態中繼資料,做為容器群組啟動的一部分,並新增了「這是 AMD SEV-SNP 硬體」的驗證。

注意

容器中繼資料是以 rego 為基礎的原則雜湊,如本範例所示。

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://fabrikam1.wus.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-uvm"
                },
                {
                    "claim": "x-ms-sevsnpvm-hostdata",
                    "equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
                }
            ]
        }
    ]
}

參考資料

Microsoft Azure 證明 (MAA)

安全金鑰發行概念和基本步驟