你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:使用 Azure CLI 设置 Azure 证明
先决条件
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
入门
使用以下 CLI 命令安装此扩展
az extension add --name attestation
检查版本
az extension show --name attestation --query version
使用以下命令登录到 Azure:
az login
如果需要,请切换到 Azure 证明的订阅:
az account set --subscription 00000000-0000-0000-0000-000000000000
在订阅中,使用 az provider register 命令注册 Microsoft.Attestation 资源提供程序:
az provider register --name Microsoft.Attestation
有关 Azure 资源提供程序以及如何配置和管理它们的详细信息,请参阅 Azure 资源提供程序和类型。
注意
仅需为订阅注册一次资源提供程序。
为证明提供程序创建资源组。 可将其他 Azure 资源(包括具有客户端应用程序实例的虚拟机)放在同一资源组中。 运行 az group create 命令创建资源组或使用现有资源组:
az group create --name attestationrg --location uksouth
创建和管理证明提供程序
可使用以下命令创建和管理证明提供程序:
运行 az attestation create 命令,创建没有策略签名要求的证明提供程序:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
运行 az attestation show 命令检索证明提供程序属性(例如 status 和 AttestURI):
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
此命令显示类似于以下输出的值:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
可使用 az attestation delete 命令删除证明提供程序:
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
策略管理
使用此处所述的命令可为证明提供程序(一次一个证明类型)提供策略管理。
az attestation policy show 命令返回指定 TEE 的当前策略:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
注意
此命令以文本和 JWT 格式显示策略。
以下是支持的 TEE 类型:
SGX-IntelSDK
SGX-OpenEnclaveSDK
TPM
使用 az attestation policy set 命令为指定的证明类型设置新策略。
若要使用文件路径以文本格式为给定类型的证明设置策略,请运行以下命令:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
若要使用文件路径以 JWT 格式为给定类型的证明设置策略,请运行以下命令:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT