빠른 시작: Azure CLI를 사용하여 Azure Attestation 설정

Azure CLI를 사용하여 Azure Attestation을 시작합니다.

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

시작하기

1. 아래 CLI 명령을 사용하여 이 확장을 설치합니다.

   az extension add --name attestation
   

2. 버전 확인

   az extension show --name attestation --query version
   

3. 다음 명령을 사용하여 Azure에 로그인합니다.

   az login
   

4. 필요한 경우 Azure Attestation에 대한 구독으로 전환합니다.

   az account set --subscription 00000000-0000-0000-0000-000000000000
   

5. az provider register 명령을 사용하여 Microsoft.Attestation 리소스 공급자를 구독에 등록합니다.

   az provider register --name Microsoft.Attestation
   

   Azure 리소스 공급자에 대한 자세한 내용 및 이를 구성하고 관리하는 방법은 Azure 리소스 공급자 및 유형을 참조하세요.

   참고 항목

   리소스 공급자는 구독에 한 번만 등록하면 됩니다.

6. 증명 공급자에 대한 리소스 그룹을 만듭니다. 클라이언트 애플리케이션 인스턴스가 있는 가상 머신을 포함하여 다른 Azure 리소스를 동일한 리소스 그룹에 배치할 수 있습니다. az group create 명령을 실행하여 리소스 그룹을 만들거나 기존 리소스 그룹을 사용합니다.

   az group create --name attestationrg --location uksouth
   

증명 공급자 만들기 및 관리

다음은 증명 공급자를 만들고 관리하는 데 사용할 수 있는 명령입니다.

1. az attestation create 명령을 실행하여 정책 서명 요구 사항 없이 증명 공급자를 만듭니다.

   az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
   

2. az attestation show 명령을 실행하여 상태 및 AttestURI와 같은 증명 공급자 속성을 검색합니다.

   az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
   

   이 명령은 다음 출력과 같은 값을 표시합니다.

   Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
   Location: MyLocation
   ResourceGroupName: MyResourceGroup
   Name: MyAttestationProvider
   Status: Ready
   TrustModel: AAD
   AttestUri: https://MyAttestationProvider.us.attest.azure.net
   Tags:
   TagsTable:
   

az attestation delete 명령을 사용하여 증명 공급자를 삭제할 수 있습니다.

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

정책 관리

여기에 설명된 명령을 사용하여 한 번의 하나의 증명 유형으로 증명 공급자에 대한 정책 관리를 제공합니다.

az attestation policy show 명령은 지정된 TEE에 대한 현재 정책을 반환합니다.

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

참고 항목

이 명령은 정책을 텍스트 및 JWT 형식으로 모두 표시합니다.

지원되는 TEE 유형은 다음과 같습니다.

• SGX-IntelSDK
• SGX-OpenEnclaveSDK
• TPM

az attestation policy set 명령을 사용하여 지정된 증명 유형에 대한 새 정책을 설정합니다.

파일 경로를 사용하여 지정된 종류의 증명 유형에 대해 텍스트 형식으로 정책을 설정하려면 다음을 수행합니다.

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

파일 경로를 사용하여 지정된 종류의 증명 유형에 대해 JWT 형식으로 정책을 설정하려면 다음을 수행합니다.

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

다음 단계

• 증명 정책을 작성하고 서명하는 방법
• 코드 샘플을 사용하여 SGX enclave에서 증명 구현