Rövid útmutató: Azure Attestation beállítása Azure PowerShellQuickstart: Set up Azure Attestation with Azure PowerShell

Az alábbi lépésekkel hozhat létre és konfigurálhatja az igazolási szolgáltatót a Azure PowerShell.Follow the below steps to create and configure an attestation provider using Azure PowerShell. A Azure PowerShell telepítésének és futtatásának mikéntjéhez lásd a Azure PowerShell.See Overview of Azure PowerShell for information on how to install and run Azure PowerShell.

Vegye figyelembe, hogy a PowerShell-galéria elavult Transport Layer Security (TLS) 1.0-s és 1.1-es verziói.Please note that, the PowerShell Gallery has deprecated Transport Layer Security (TLS) versions 1.0 and 1.1. A TLS 1.2-es vagy újabb verziója ajánlott.TLS 1.2 or a later version is recommended. Ezért a következő hibákat kaphatja:Hence you may receive the following errors:

  • FIGYELMEZTETÉS: Nem sikerült feloldani a következő csomagforrást: https://www.powershellgallery.com/api/v2 'WARNING: Unable to resolve package source 'https://www.powershellgallery.com/api/v2'
  • PackageManagement\Install-Package: Nem található egyezés a megadott keresési feltételhez és a modul nevéhezPackageManagement\Install-Package: No match was found for the specified search criteria and module name

A kapcsolat további PowerShell-galéria futtassa a következő parancsot a Install-Module parancsai előttTo continue to interact with the PowerShell Gallery, run the following command before the Install-Module commands

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 

Az Az.Attestation PowerShell-modul telepítéseInstall Az.Attestation PowerShell module

Telepítse az Az.Attestation PowerShell-modult, amely Azure PowerShell-parancsmagokat Azure Attestation.On machine with Azure PowerShell, install the Az.Attestation PowerShell module, which contains cmdlets for Azure Attestation.

Kezdeti telepítésInitial installation

Az összes meglévő PowerShell-ablak megszüntetése.Terminate all existing PowerShell windows.

Az "aktuális felhasználó" telepítéséhez indítson el egy nem emelt szintű PowerShell-ablakot, és futtassa a következőt:To install for "current user", launch a non-elevated PowerShell window and run:

Install-Module -Name Az.Attestation -AllowClobber -Scope CurrentUser

A "minden felhasználó" számára való telepítéshez indítson el egy emelt szintű PowerShell-ablakot, és futtassa a következőt:To install for "all users", launch an elevated PowerShell window and run:

Install-Module -Name Az.Attestation -AllowClobber -Scope AllUsers

Zárja be az emelt szintű PowerShell-konzolt.Close the elevated PowerShell console.

A telepítés frissítéseUpdate the installation

Az összes meglévő PowerShell-ablak megszüntetése.Terminate all existing PowerShell windows.

Az "aktuális felhasználó" frissítéséhez indítson el egy nem emelt szintű PowerShell-ablakot, és futtassa a következőt:To update for "current user", launch a non-elevated PowerShell window and run:

Update-Module -Name Az.Attestation

A "minden felhasználó" frissítéséhez indítson el egy emelt szintű PowerShell-ablakot, és futtassa a következőt:To update for "all users", launch an elevated PowerShell window and run:

Update-Module -Name Az.Attestation

Zárja be az emelt szintű PowerShell-konzolt.Close the elevated PowerShell console.

Telepített modulok beolvasásaGet installed modules

Az Az modulok minimális verziója, amely az igazolási műveletek támogatásához szükséges:Minimum version of Az modules required to support attestation operations:

  • Az Az 4.5.0Az 4.5.0
  • Az.Accounts 1.9.2Az.Accounts 1.9.2
  • Az.Attestation 0.1.8Az.Attestation 0.1.8

Futtassa az alábbi parancsot az összes Az modul telepített verziójának ellenőrzéséhezRun the below command to verify the installed version of all Az modules

Get-InstalledModule

Ha a verziók nem egyeznek meg a minimális követelménnyel, futtassa a Update-Module parancsokat.If the versions are not matching with the minimum requirement, run Update-Module commands.

Bejelentkezés az Azure-baSign in to Azure

Jelentkezzen be az Azure-ba a PowerShell-konzolon (emelt szintű hozzáférési jogosultságok nélkül).Sign in to Azure in PowerShell console (without elevated access privileges).

Connect-AzAccount

Ha szükséges, váltson arra az előfizetésre, amely a Azure Attestation.If needed, switch to the subscription to be used for Azure Attestation.

Set-AzContext -Subscription <subscription id>  

A Microsoft.Attestation erőforrás-szolgáltató regisztrálásaRegister Microsoft.Attestation resource provider

Regisztrálja a Microsoft.Attestation erőforrás-szolgáltatót az előfizetésben.Register the Microsoft.Attestation resource provider in subscription. További információ az Azure-erőforrás-szolgáltatókról, valamint az erőforrás-szolgáltatók konfigurálásról és kezelésről: Azure erőforrás-szolgáltatók és -típusok.For more information about Azure resource providers and how to configure and manage resources providers, see Azure resource providers and types. Vegye figyelembe, hogy egy előfizetéshez csak egyszer kell regisztrálni egy erőforrás-szolgáltatót.Note that registering a resource provider is required only once for a subscription.

Register-AzResourceProvider -ProviderNamespace Microsoft.Attestation

A Azure AttestationRegional availability of Azure Attestation

(Get-AzResourceProvider -ProviderNamespace Microsoft.Attestation)[0].Locations

Azure-erőforráscsoport létrehozásaCreate an Azure resource group

Hozzon létre egy erőforráscsoportot az igazolásszolgáltatóhoz.Create a resource group for the attestation provider. Vegye figyelembe, hogy más Azure-erőforrások (beleértve az ügyfélalkalmazás-példányt is) ugyanoda az erőforráscsoportba is be lehet tenni.Note that other Azure resources (including a virtual machine with client application instance) can be put in the same resource group.

$location = "uksouth" 
$attestationResourceGroup = "<attestation provider resource group name>"
New-AzResourceGroup -Name $attestationResourceGroup -Location $location 

Megjegyzés

Miután létrehozott egy igazolási szolgáltatót ebben az erőforráscsoportban, az Azure AD-felhasználónak igazolási közreműködői szerepkörben kell lennie a szolgáltatón az olyan műveletek végrehajtásához, mint a szabályzatkonfiguráció vagy a szabályzat-aláíró tanúsítványkezelés.Once an attestation provider is created in this resource group, an Azure AD user must have Attestation Contributor role on the provider to perform operations like policy configuration/ policy signer certificates management. Ezek az engedélyek olyan szerepkörökkel is örökölhetőek, mint a Tulajdonos (helyettesítő karakterek engedélyei)/ Közreműködő (helyettesítő karakterek engedélyei) az előfizetésen/erőforráscsoporton.These permissions can be also be inherited with roles such as Owner (wildcard permissions)/ Contributor (wildcard permissions) on the subscription/ resource group.

Igazolásszolgáltató létrehozása és kezeléseCreate and manage an attestation provider

New-AzAttestation létrehoz egy igazolási szolgáltatót.New-AzAttestation creates an attestation provider.

$attestationProvider = "<attestation provider name>" 
New-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location

A PolicySignerCertificateFile egy olyan fájl, amely megbízható aláírókulcs-készletet ad meg.PolicySignerCertificateFile is a file specifying a set of trusted signing keys. Ha a PolicySignerCertificateFile paraméterhez fájlnév van megadva, az igazolási szolgáltató csak aláírt JWT formátumú házirendekkel konfigurálható.If a filename is specified for the PolicySignerCertificateFile parameter, attestation provider can be configured only with policies in signed JWT format. Az egyéb szabályzatok szövegben vagy aláíratlan JWT formátumban konfigurálhatóak.Else policy can be configured in text or an unsigned JWT format.

New-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location -PolicySignersCertificateFile "C:\test\policySignersCertificates.pem"

A PolicySignersCertificateFile minta esetében tekintse meg a szabályzat-aláíró tanúsítványra vonatkozó példákat.For PolicySignersCertificateFile sample, see examples of policy signer certificate.

Get-AzAttestation lekéri az igazolási szolgáltató tulajdonságait, például az állapotot és az AttestURI-t.Get-AzAttestation retrieves the attestation provider properties like status and AttestURI. Jegyezze fel az AttestURI-t, mert később szüksége lesz rá.Take a note of AttestURI, as it will be needed later.

Get-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup  

A fenti parancsnak az alábbihoz hasonló kimenetet kell előállítania:The above command should produce an output like the one below:

Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
Location: MyLocation
ResourceGroupName: MyResourceGroup
Name: MyAttestationProvider
Status: Ready
TrustModel: AAD
AttestUri: https://MyAttestationProvider.us.attest.azure.net 
Tags: 
TagsTable: 

Az igazolási szolgáltatók a következő parancsmag Remove-AzAttestation törölhetők.Attestation providers can be deleted using the Remove-AzAttestation cmdlet.

Remove-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

SzabályzatkezelésPolicy management

A szabályzatok kezeléséhez egy Azure AD-felhasználónak a következő engedélyekre van szüksége a "Műveletekhez":In order to manage policies, an Azure AD user requires the following permissions for "Actions":

  • Microsoft.Attestation/attestationProviders/attestation/readMicrosoft.Attestation/attestationProviders/attestation/read
  • Microsoft.Attestation/attestationProviders/attestation/writeMicrosoft.Attestation/attestationProviders/attestation/write
  • Microsoft.Attestation/attestationProviders/attestation/deleteMicrosoft.Attestation/attestationProviders/attestation/delete

Ezen műveletek végrehajtásához az Azure AD-felhasználónak igazolási közreműködői szerepkörben kell lennie az igazolási szolgáltatón. To perform these actions, an Azure AD user must have Attestation Contributor role on the attestation provider. Ezek az engedélyek olyan szerepkörökkel is örökölhetőek, mint a Tulajdonos (helyettesítő karakterek engedélyei)/ Közreműködő (helyettesítő karakterek engedélyei) az előfizetésen/erőforráscsoporton.These permissions can be also be inherited with roles such as Owner (wildcard permissions)/ Contributor (wildcard permissions) on the subscription/ resource group.

A szabályzatok olvasásához egy Azure AD-felhasználónak a következő engedélyre van szüksége a "Műveletek" művelethez:In order to read policies, an Azure AD user requires the following permission for "Actions":

  • Microsoft.Attestation/attestationProviders/attestation/readMicrosoft.Attestation/attestationProviders/attestation/read

A művelet végrehajtásához az Azure AD-felhasználónak igazolásolvasó szerepkörre van szükség az igazolásszolgáltatón. To perform this action, an Azure AD user must have Attestation Reader role on the attestation provider. Az olvasási engedély olyan szerepkörökkel is örökölhető, mint az Olvasó (helyettesítő karakteres engedélyek) az előfizetésen/erőforráscsoporton.The read permission can be also be inherited with roles such as Reader (wildcard permissions) on the subscription/ resource group.

Az alábbi PowerShell-parancsmagok biztosítják az igazolásszolgáltató (egyszerre egy TEE) szabályzatkezelését.Below PowerShell cmdlets provide policy management for an attestation provider (one TEE at a time).

Get-AzAttestationPolicy a megadott TEE aktuális szabályzatát adja vissza.Get-AzAttestationPolicy returns the current policy for the specified TEE. A parancsmag a szabályzat szövegében és JWT formátumában is megjeleníti a szabályzatot.The cmdlet displays policy in both text and JWT format of the policy.

$teeType = "<tee Type>"
Get-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

A támogatott TEE-típusok: "SgxEnclave", "OpenEnclave" és "VbsEnclave".Supported TEE types are "SgxEnclave", "OpenEnclave" and "VbsEnclave".

Set-AttestationPolicy új szabályzatot állít be a megadott TEE-hez.Set-AttestationPolicy sets a new policy for the specified TEE. A parancsmag szöveg vagy JWT formátumban fogadja el a szabályzatot, és a PolicyFormat paraméterrel vezérelhető.The cmdlet accepts policy in either text or JWT format and is controlled by the PolicyFormat parameter. A PolicyFormat alapértelmezett értéke a "Text"."Text" is the default value for PolicyFormat.

$policyFormat = "<policy format>"
$policy=Get-Content -path "C:\test\policy.txt" -Raw
Set-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType -Policy $policy -PolicyFormat $policyFormat 

Ha a PolicySignerCertificateFile meg van állítva az igazolásszolgáltató létrehozása során, a szabályzatok csak aláírt JWT formátumban konfigurálhatóak.If PolicySignerCertificateFile is provided during creation of an attestation provider, policies can be configured only in signed JWT format. Egyéb szabályzatok szövegben vagy aláíratlan JWT formátumban konfigurálhatóak.Else policy can be configured in text or an unsigned JWT format.

Az igazolási szabályzatnak JWT formátumban kell tartalmaznia egy "AttestationPolicy" nevű jogcímet.Attestation policy in JWT format must contain a claim named "AttestationPolicy". Aláírt szabályzat esetében a JWT-t a meglévő szabályzat-aláíró tanúsítványok bármelyikének megfelelő titkos kulccsal kell aláírni.For signed policy, JWT must be signed with private key corresponding to any of the existing policy signer certificates.

Szabályzatmintákat az igazolási szabályzat példáiban talál.For policy samples, see examples of an attestation policy.

Reset-AzAttestationPolicy visszaállítja a szabályzatot az alapértelmezettre a megadott TEE-hez.Reset-AzAttestationPolicy resets the policy to default for the specified TEE.

Reset-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

Házirend-aláíró tanúsítványok kezelésePolicy signer certificates management

Az alábbi PowerShell-parancsmagok biztosítják egy tanúsítványszolgáltató házirend-aláíró tanúsítványának kezelését:Below PowerShell cmdlets provide policy signer certificates management for an attestation provider:

Get-AzAttestationPolicySigners -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

Add-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

Remove-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

A szabályzat-aláíró tanúsítvány egy aláírt JWT,"maa-policyCertificate" nevű jogcímmal.Policy signer certificate is a signed JWT with claim named "maa-policyCertificate". A jogcím értéke egy JWK, amely tartalmazza a hozzáadni kívánt megbízható aláírókulcsot.Value of the claim is a JWK which contains the trusted signing key to add. A JWT-t a meglévő szabályzat-aláíró tanúsítványok bármelyikének megfelelő titkos kulccsal kell aláírni.The JWT must be signed with private key corresponding to any of the existing policy signer certificates.

Vegye figyelembe, hogy a házirend-aláíró tanúsítványának minden szemantikai manipulációját a PowerShellen kívül kell tenni.Note that all semantic manipulation of the policy signer certificate must be done outside of PowerShell. Ami a PowerShellt illeti, ez egy egyszerű sztring.As far as PowerShell is concerned, it is a simple string.

A szabályzat-aláíró tanúsítványmintát a szabályzat-aláíró tanúsítvány példáiban talál.For policy signer certificate sample, see examples of policy signer certificate.

A parancsmagokkal és a paramétereivel kapcsolatos további információkért lásd: Azure Attestation PowerShell-parancsmagokFor more information on the cmdlets and its parameters, see Azure Attestation PowerShell cmdlets

Következő lépésekNext steps