Rychlý start: Nastavení ověřování Azure pomocí Azure CLI

Začínáme se službou Azure Attestation pomocí Azure CLI

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Začínáme

1. Nainstalujte toto rozšíření pomocí následujícího příkazu rozhraní příkazového řádku.

   az extension add --name attestation
   

2. Kontrola verze

   az extension show --name attestation --query version
   

3. Pomocí následujícího příkazu se přihlaste k Azure:

   az login
   

4. V případě potřeby přepněte na předplatné pro ověření identity Azure:

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. Zaregistrujte poskytovatele prostředků Microsoft.Attestation v předplatném pomocí příkazu az provider register :

   az provider register --name Microsoft.Attestation
   

   Další informace o poskytovateli prostředků Azure a o tom, jak je nakonfigurovat a spravovat, najdete v tématu Poskytovatelé a typy prostředků Azure.

   Poznámka:

   Pro předplatné stačí zaregistrovat poskytovatele prostředků jenom jednou.

6. Vytvořte skupinu prostředků pro zprostředkovatele ověření identity. Další prostředky Azure můžete umístit do stejné skupiny prostředků, včetně virtuálního počítače s instancí klientské aplikace. Spuštěním příkazu az group create vytvořte skupinu prostředků nebo použijte existující skupinu prostředků:

   az group create --name attestationrg --location uksouth
   

Vytvoření a správa poskytovatele ověření identity

Tady jsou příkazy, které můžete použít k vytvoření a správě poskytovatele ověření identity:

1. Spuštěním příkazu az attestation create vytvořte zprostředkovatele ověření identity bez požadavku na podepisování zásad:

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. Spuštěním příkazu az attestation show načtěte vlastnosti zprostředkovatele ověření identity, jako je stav a AttestURI:

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   Tento příkaz zobrazí hodnoty jako následující výstup:

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

Poskytovatele ověření identity můžete odstranit pomocí příkazu az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Správa zásad

Pomocí zde popsaných příkazů můžete poskytnout správu zásad pro zprostředkovatele ověření identity, a to jeden typ ověření identity najednou.

Příkaz az attestation policy show vrátí aktuální zásadu pro zadaný TEE:

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Poznámka:

Příkaz zobrazí zásadu ve formátu textu i JWT.

Podporované typy TEE:

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

Pomocí příkazu az attestation policy set nastavte novou zásadu pro zadaný typ ověření identity.

Nastavení zásad v textovém formátu pro daný typ ověření identity pomocí cesty k souboru:

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Nastavení zásad ve formátu JWT pro daný typ ověření identity pomocí cesty k souboru:

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Další kroky

• Jak vytvořit a podepsat zásady ověření identity
• Implementace ověření identity pomocí enklávy SGX pomocí ukázek kódu