Snabbstart: Konfigurera Azure Attestation med Azure CLI
Kom igång med Azure Attestation med hjälp av Azure CLI.
Förutsättningar
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Kom igång
Installera det här tillägget med cli-kommandot nedan
az extension add --name attestation
Kontrollera versionen
az extension show --name attestation --query version
Använd följande kommando för att logga in på Azure:
az login
Om det behövs växlar du till prenumerationen för Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000
Registrera resursprovidern Microsoft.Attestation i prenumerationen med kommandot az provider register :
az provider register --name Microsoft.Attestation
Mer information om Azure-resursprovidrar och hur du konfigurerar och hanterar dem finns i Azure-resursprovidrar och -typer.
Kommentar
Du behöver bara registrera en resursprovider en gång för en prenumeration.
Skapa en resursgrupp för attesteringsprovidern. Du kan placera andra Azure-resurser i samma resursgrupp, inklusive en virtuell dator med en klientprograminstans. Kör kommandot az group create för att skapa en resursgrupp eller använd en befintlig resursgrupp:
az group create --name attestationrg --location uksouth
Skapa och hantera en attesteringsprovider
Här är kommandon som du kan använda för att skapa och hantera attesteringsprovidern:
Kör kommandot az attestation create för att skapa en attesteringsprovider utan krav på principsignering:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
Kör kommandot az attestation show för att hämta attesteringsproviderns egenskaper, till exempel status och AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
Det här kommandot visar värden som följande utdata:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
Du kan ta bort en attesteringsprovider med kommandot az attestation delete :
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Principhantering
Använd de kommandon som beskrivs här för att tillhandahålla principhantering för en attesteringsprovider, en attesteringstyp i taget.
Kommandot az attestation policy show returnerar den aktuella principen för den angivna TEE:en:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Kommentar
Kommandot visar principen i både text- och JWT-format.
Följande är tee-typer som stöds:
SGX-IntelSDK
SGX-OpenEnclaveSDK
TPM
Använd kommandot az attestation policy set för att ange en ny princip för den angivna attesteringstypen.
Så här anger du principen i textformat för en viss typ av attesteringstyp med hjälp av filsökvägen:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Så här anger du principen i JWT-format för en viss typ av attesteringstyp med hjälp av filsökvägen:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT