Programabilidade do Azure Confidential Ledger (ACL)

A programação é um novo recurso no Razão Confidencial que permite que os clientes executem código personalizado na mesma Base de Computação Confiável (TCB) que as transações regulares do Razão Confidencial (ACL) do Azure. O benefício de executar o código personalizado e as transações no TCB é que ele fornece as mesmas garantias de confidencialidade e integridade para o código personalizado e as transações produzidas por ele. A programação também oferece suporte ao RBAC (Controle de Acesso Baseado em Função) por meio de funções personalizadas definidas na ACL e usadas no código.

Alguns cenários que podem ser ativados através da programação são os seguintes:

• Agregação e análise de dados: Informações sensíveis podem ser analisadas no TCB e apenas informações agregadas podem ser compartilhadas com as partes interessadas.
• Atestado: informações confidenciais como PII, pontuação de crédito e informações de integridade podem ser compartilhadas com cargas de trabalho em execução em outras ofertas de computação confidenciais, como ACI Confidencial do Azure e VM Confidencial após o atestado

Pré-requisitos

• CLI do Azure ou Azure PowerShell.

• Proprietário da subscrição - Um registo confidencial só pode ser criado por utilizadores com permissões de Proprietário na subscrição do Azure. Confirme se você tem o acesso apropriado antes de continuar com este início rápido.

Este tutorial pressupõe que você tenha criado uma instância do Razão Confidencial. Você pode criar um Razão Confidencial com o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Desenvolvimento e implantação de aplicativos

Os aplicativos são desenvolvidos usando TypeScript e agrupados em um pacote JavaScript. Para saber mais sobre o processo de desenvolvimento, consulte a documentação do Confidential Consortium Framework (CCF).

Importante

Somente usuários administradores podem implantar aplicativos e gerenciar RBAC personalizado no Razão Confidencial. O restante da seção pressupõe que um administrador execute as etapas a seguir.

A seção a seguir pressupõe que o aplicativo esteja pronto para implantação. Para demonstrar o processo de implantação, usamos o aplicativo bancário de exemplo disponível no repositório azureconfidentialledger-app-samples (https://github.com/microsoft/azureconfidentialledger-app-samples).

Nota

O aplicativo demonstra como casos de uso bancários comuns, como abertura de contas, depósito e transferência de fundos, podem ser realizados por meio de um aplicativo JavaScript implantado em uma instância do Confidential Ledger. Ele também demonstra como funções personalizadas e RBAC podem ser usados para autorizar ações do usuário.

Iniciar sessão no Azure

Nota

O Confidential Ledger suporta o Microsoft Entra pronto para uso. Não é necessária mais configuração. Se seu aplicativo usa JWT emitido por outros provedores de identidade, entre em contato com o suporte ao cliente para configurá-lo na instância do Razão Confidencial.

Obtenha um token do Microsoft Entra para autenticar na instância do Razão Confidencial.

CLI

az login --use-device-code
az account get-access-token --resource https://confidential-ledger.azure.com

PowerShell

Connect-AzAccount
Set-AzContext -Subscription subscriptionid
Get-AzAccessToken -ResourceUrl "https://confidential-ledger.azure.com"

Copie o valor do token bruto da saída do comando.

Faça o download da identidade do Ledger

Cada instância do Razão Confidencial é associada a uma identidade exclusiva representada por um certificado chamado certificado de serviço. É necessário estabelecer uma conexão segura com a instância. Faça o download e salve-o em servicer_cert.pem.

Nota

contoso é o nome da instância do Razão Confidencial. Substitua-o pelo nome da instância.

curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/contoso --silent | jq ' .ledgerTlsCertificate' | xargs echo -e > service_cert.pem

Implementar a aplicação

Implante o pacote de aplicativos JavaScript chamando /app/userDefinedEndpoints.

apiVersion="2024-08-22-preview"
content_type_application_json="Content-Type: application/json"
bundle="/path/to/bundle.json"
authorization="Authorization: Bearer raw_token_value"
server_identity="--cacert service_cert.pem"

# Deploy the application
#
curl $server_identity -X PUT "https://contoso.confidential-ledger.azure.com/app/userDefinedEndpoints?api-version=$apiVersion" -H "$content_type_application_json" -H "$authorization" -d @$bundle

# View the application
#
curl $server_identity "https://contoso.confidential-ledger.azure.com/app/userDefinedEndpoints?api-version=$apiVersion" -H "$authorization"

Criar funções e usuários personalizados

A aplicação bancária envolve duas personas, a saber, um «gerente» e um «caixa». Criamos dois papéis e usuários para representar as personas.

Nota

O usuário é representado por um certificado exclusivo.

Nota

Os usuários do aplicativo podem ser atribuídos as funções internas, ou seja, Administrador, Colaborador e Leitor. As funções personalizadas diferenciam maiúsculas de minúsculas e as funções internas não diferenciam maiúsculas de minúsculas. Um usuário pode receber várias funções.

apiVersion="2024-08-22-preview"
content_type_application_json="Content-Type: application/json"
content_type_merge_patch_json="Content-Type: application/merge-patch+json"
authorization="Authorization: Bearer raw_token_value"
curve="secp384r1"
server_identity="--cacert service_cert.pem"

# These actions must match (case-sensitive) the values defined in the application.
#
role_actions='{"roles":[{"role_name":"manager","role_actions":["/banking/accounts/post","/banking/accounts/put","/banking/accounts/get","/banking/accounts/patch"]},{"role_name":"teller","role_actions":["/banking/accounts/put","/banking/accounts/get","/banking/accounts/patch"]}]}'

# Create the roles.
#
curl $server_identity -X PUT "https://contoso.confidential-ledger.azure.com/app/roles?api-version=$apiVersion" -H "$content_type_application_json" -H "$authorization" -d $role_actions

# View the roles
#
curl $server_identity "https://contoso.confidential-ledger.azure.com/app/roles?api-version=$apiVersion" -H "$authorization"

# Create a certificate for the manager user.
#
openssl ecparam -out "manager_privk.pem" -name "$curve" -genkey
openssl req -new -key "manager_privk.pem" -x509 -nodes -days 365 -out "manager_cert.pem" -sha384 -subj=/CN="manager"
manager_cert_fingerprint=$(openssl x509 -in "manager_cert.pem" -noout -fingerprint -sha256 | cut -d "=" -f 2)
manager_user="{\"user_id\":\"$manager_cert_fingerprint\",\"assignedRoles\":[\"manager\"]}"

# Create a certificate for the teller user.
#
openssl ecparam -out "teller_privk.pem" -name "$curve" -genkey
openssl req -new -key "teller_privk.pem" -x509 -nodes -days 365 -out "teller_cert.pem" -sha384 -subj=/CN="teller"
teller_cert_fingerprint=$(openssl x509 -in "teller_cert.pem" -noout -fingerprint -sha256 | cut -d "=" -f 2)
teller_user="{\"user_id\":\"$teller_cert_fingerprint\",\"assignedRoles\":[\"teller\"]}"

# Create the manager user.
#
curl $server_identity -X PATCH "https://contoso.confidential-ledger.azure.com/app/ledgerUsers/$manager_cert_fingerprint?api-version=$apiVersion" -H "$content_type_merge_patch_json" -H "$authorization" -d $manager_user

# Create the teller user.
#
curl $server_identity -X PATCH "https://contoso.confidential-ledger.azure.com/app/ledgerUsers/$teller_cert_fingerprint?api-version=$apiVersion" -H "$content_type_merge_patch_json" -H "$authorization" -d $teller_user

# View the users
#
curl $server_identity "https://contoso.confidential-ledger.azure.com/app/ledgerUsers?api-version=$apiVersion" -H "$authorization"

Atualizar a configuração do tempo de execução (opcional)

A configuração do tempo de execução do JavaScript pode ser atualizada chamando o ponto de extremidade /app/userDefinedEndpoints/runTimeOptions. Para demonstrá-lo, vamos definir o tempo máximo de execução para 2000 ms.

apiVersion="2024-08-22-preview"
content_type_merge_patch_json="Content-Type: application/merge-patch+json"
authorization="Authorization: Bearer raw_token_value"
runtime_options="{\"max_heap_bytes\":1024,\"max_stack_bytes\":1024,\"max_execution_time_ms\":2000,\"log_exception_details\":false,\"return_exception_details\":false,\"max_cached_interpreters\":1024}"
server_identity="--cacert service_cert.pem"

# Patch the runtime options
#
curl $server_identity -X PATCH "https://contoso.confidential-ledger.azure.com/app/userDefinedEndpoints/runTimeOptions?api-version=$apiVersion" -H "$content_type_merge_patch_json" -H "$authorization" -d $runtime_options

# View the runtime options
#
curl $server_identity "https://contoso.confidential-ledger.azure.com/app/userDefinedEndpoints/runTimeOptions?api-version=$apiVersion" -H "$authorization"

Agora você está pronto para chamar os pontos de extremidade do aplicativo e enviar transações.

Clean up resources (Limpar recursos)

Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com os inícios rápidos e tutoriais subsequentes, pode manter estes recursos.

Quando não for mais necessário, você pode usar o comando azur CLI az group delete para remover o grupo de recursos e todos os recursos relacionados:

az group delete --name "myResourceGroup"

Próximos passos

Neste tutorial, você implantou um aplicativo JavaScript personalizado em uma instância de razão confidencial. Para saber mais sobre o livro razão confidencial do Azure e como integrá-lo aos seus aplicativos, continue nestes artigos.

• Visão geral da contabilidade confidencial do Microsoft Azure