Поделиться через


Примеры политики выпуска безопасного ключа для конфиденциальных вычислений Azure

Защищенный выпуск ключей (SKR) может выпускать только экспортируемые ключи на основе созданных утверждений microsoft Аттестация Azure (MAA). Существует жесткая интеграция с определением политики SKR с утверждениями MAA. Утверждения MAA по доверенной среде выполнения (TEE) можно найти здесь.

Следуйте грамматике политики, чтобы узнать больше о том, как настроить политики SKR.

Примеры политики политики SKR приложений Intel SGX

Пример 1. Политика SKR на основе Intel SGX, проверяющая сведения о подписывателье mr (SGX анклава) в рамках утверждений MAA


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Пример 2. Политика SKR на основе Intel SGX, проверяющая подпись MR (подписыватель анклава SGX) или сведения об анклавах MR в рамках утверждений MAA


{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Пример 3. Политика SKR на основе Intel SGX, проверяющая подпись MR (подписыватель анклава SGX) и MR Анклава с минимальными сведениями о номере SVN в рамках утверждений MAA

{
  "anyOf": [
    {
      "authority": "https://sharedeus2.eus2.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-sgx-mrsigner",
          "equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-mrenclave",
          "equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
        },
        {
          "claim": "x-ms-sgx-svn",
          "greater": 1
        }
      ]
    }
  ],
  "version": "1.0.0"
}

Примеры политики SEV-SNP на основе виртуальной машины TEE SKR для конфиденциальной виртуальной машины AMD

Пример 1. Политика SKR, которая проверяет, соответствует ли это Azure CVM и работает на подлинном оборудовании AMD SEV-SNP, а центр URL-адреса MAA распространяется во многих регионах.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        },
        {
            "authority": "https://sharedeus2.weu2.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}

Пример 2. Политика SKR, которая проверяет, соответствует ли CVM Azure требованиям CVM и работает на подлинном оборудовании AMD SEV-SNP и имеет известный идентификатор виртуальной машины. (VMID являются уникальными в Azure)

{
  "version": "1.0.0",
  "allOf": [
    {
      "authority": "https://sharedweu.weu.attest.azure.net",
      "allOf": [
        {
          "claim": "x-ms-isolation-tee.x-ms-attestation-type",
          "equals": "sevsnpvm"
        },
        {
          "claim": "x-ms-isolation-tee.x-ms-compliance-status",
          "equals": "azure-compliant-cvm"
        },
        {
          "claim": "x-ms-azurevm-vmid",
          "equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
        }
      ]
    }
  ]
}

Примеры политики SKR для конфиденциальных контейнеров в Экземпляры контейнеров Azure (ACI)

Пример 1. Конфиденциальные контейнеры в ACI, проверяющие инициированные контейнеры и метаданные конфигурации контейнеров в рамках запуска группы контейнеров с добавленными проверками, что это оборудование AMD SEV-SNP.

Примечание.

Метаданные контейнеров — это хэш политики на основе рего, отраженный в этом примере.

{
    "version": "1.0.0",
    "anyOf": [
        {
            "authority": "https://fabrikam1.wus.attest.azure.net",
            "allOf": [
                {
                    "claim": "x-ms-attestation-type",
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-compliance-status",
                    "equals": "azure-compliant-uvm"
                },
                {
                    "claim": "x-ms-sevsnpvm-hostdata",
                    "equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
                }
            ]
        }
    ]
}

Ссылки

Microsoft Аттестация Azure (MAA)

Основные действия по выпуску безопасного ключа