クイックスタート: Azure portal を使用して Azure Attestation をセットアップする

Azure Attestation は、このクイックスタートの手順に従って導入することができます。 Azure portal を使用して、構成証明プロバイダー、ポリシー署名者、ポリシーを管理する方法をご覧ください。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。 構成証明プロバイダーを作成するユーザーは、リソースを作成するための、サブスクリプションに対する十分なアクセス レベル (所有者や共同作成者など) を持っている必要があります。 詳細については、Azure の組み込みロールに関するページを参照してください。

構成証明プロバイダー

このセクションでは、構成証明プロバイダーを作成し、署名されていないポリシーまたは署名済みのポリシーを使用して構成します。 また、構成証明プロバイダーを表示したり削除したりする方法についても説明します。

署名されていないポリシーを使用してプロバイダーを作成、構成する

1. Azure portal のメニューまたはホーム ページに移動し、 [リソースの作成] を選択します。

2. 検索ボックスに「attestation」と入力します。

3. 結果リストから [Microsoft Azure Attestation] を選択します。

4. [Microsoft Azure Attestation] ページで [作成] を選択します。

5. [Create attestation provider](構成証明プロバイダーの作成) ページで、次の情報を入力します。

   • サブスクリプション:サブスクリプションを選択します。
   • リソース グループ:既存のリソース グループを選択するか、または [新規作成] を選択してリソース グループの名前を入力します。
   • [名前] : 一意の名前を入力します。
   • [場所] :場所を選択します。
   • [Policy signer certificates file](ポリシー署名者証明書ファイル) : 署名されていないポリシーを使用してプロバイダーを構成する場合、ポリシー署名者証明書ファイルはアップロードしません。

6. 必要な情報を入力したら、 [確認と作成] を選択します。

7. 検証の問題を修正し、[作成] を選択します。

署名済みのポリシーを使用してプロバイダーを作成、構成する

1. Azure portal のメニューまたはホーム ページに移動し、 [リソースの作成] を選択します。

2. 検索ボックスに「attestation」と入力します。

3. 結果リストから [Microsoft Azure Attestation] を選択します。

4. [Microsoft Azure Attestation] ページで [作成] を選択します。

5. [Create attestation provider](構成証明プロバイダーの作成) ページで、次の情報を入力します。

   • サブスクリプション:サブスクリプションを選択します。
   • リソース グループ:既存のリソース グループを選択するか、または [新規作成] を選択してリソース グループの名前を入力します。
   • [名前] : 一意の名前を入力します。
   • [場所] :場所を選択します。
   • [Policy signer certificates file](ポリシー署名者証明書ファイル) : 署名済みのポリシーを使用して構成証明プロバイダーを構成するには、ポリシー署名者証明書ファイルをアップロードします。 ポリシー署名者証明書の例を参照してください。

6. 必要な情報を入力したら、 [確認と作成] を選択します。

7. 検証の問題を修正し、[作成] を選択します。

構成証明プロバイダーを表示する

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力し、それを選択します

構成証明プロバイダーを削除する

構成証明プロバイダーの削除には 2 とおりの方法があります。 次の操作を行うことができます。

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. チェック ボックスをオンにし、 [削除] を選択します。
4. 「yes」と入力し、 [削除] を選択します。

または、次のことができます。

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. 構成証明プロバイダーを選択し、概要ページに移動します
4. メニュー バーの [削除] を選択し、 [はい] を選択します。

構成証明ポリシーの署名者

ポリシー署名者証明書を表示、追加、削除するには、このセクションの手順に従います。

ポリシー署名者証明書を表示する

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. 構成証明プロバイダーを選択し、概要ページに移動します
4. 下部のペインまたはウィンドウの左側のリソース メニューで [Policy signer certificates](ポリシー署名者証明書) を選択します。 認証用の証明書の選択を求めるプロンプトが表示される場合は、[キャンセル] を選択して続行してください。
5. [Download policy signer certificates](ポリシー署名者証明書のダウンロード) を選択します。 このボタンは、ポリシー署名要件なしで作成された構成証明プロバイダーでは無効になります。
6. ダウンロードされるテキスト ファイルにはすべて、JWS 形式の証明書があります。
7. 証明書の数とダウンロードされた証明書を確認します。

ポリシー署名者証明書を追加する

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. 構成証明プロバイダーを選択し、概要ページに移動します
4. 下部のペインまたはウィンドウの左側のリソース メニューで [Policy signer certificates](ポリシー署名者証明書) を選択します。 認証用の証明書の選択を求めるプロンプトが表示される場合は、[キャンセル] を選択して続行してください。
5. 上部のメニューにある [追加] を選択します。 このボタンは、ポリシー署名要件なしで作成された構成証明プロバイダーでは無効になります。
6. ポリシー署名者証明書ファイルをアップロードし、 [追加] を選択します。 ポリシー署名者証明書の例を参照してください。

ポリシー署名者証明書を削除する

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. 構成証明プロバイダーを選択し、概要ページに移動します
4. 下部のペインまたはウィンドウの左側のリソース メニューで [Policy signer certificates](ポリシー署名者証明書) を選択します。 認証用の証明書の選択を求めるプロンプトが表示される場合は、[キャンセル] を選択して続行してください。
5. 上部のメニューにある [削除] を選択します。 このボタンは、ポリシー署名要件なしで作成された構成証明プロバイダーでは無効になります。
6. ポリシー署名者証明書ファイルをアップロードし、 [削除] を選択します。 ポリシー署名者証明書の例を参照してください。

構成証明ポリシー

このセクションでは、構成証明ポリシーを表示する方法のほか、ポリシー署名要件に基づいて作成されたポリシーとポリシー署名要件なしで作成されたポリシーを構成する方法について説明します。

構成証明ポリシーを表示する

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。
2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。
3. 構成証明プロバイダーを選択し、概要ページに移動します
4. 下部のペインまたはウィンドウの左側のリソース メニューで [ポリシー] を選択します。 認証用の証明書の選択を求めるプロンプトが表示される場合は、[キャンセル] を選択して続行してください。
5. 目的の [構成証明の種類] を選択し、 [現在のポリシー] を表示します。

構成証明ポリシーを構成する

構成証明プロバイダーがポリシー署名要件なしで作成されている場合に、JWT 形式またはテキスト形式でポリシーをアップロードするには、次の手順に従います。

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。

2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。

3. 構成証明プロバイダーを選択し、概要ページに移動します

4. 下部のペインまたはウィンドウの左側のリソース メニューで [ポリシー] を選択します。 認証用の証明書の選択を求めるプロンプトが表示される場合は、[キャンセル] を選択して続行してください。

5. 上部のメニューにある [構成] を選択します。

6. [Policy Format](ポリシーの形式) を [JWT] または [テキスト] として選択します。

   構成証明プロバイダーがポリシー署名要件なしで作成されている場合、ユーザーは、ポリシーを JWT またはテキスト形式でアップロードできます

   • JWT 形式を選択した場合、ポリシーの内容を含んだポリシー ファイルを署名なしまたは署名付き JWT 形式でアップロードし、 [保存] を選択します。 ポリシーの例を参照してください。
   • テキスト形式を選択した場合は、テキスト形式の内容を含んだポリシー ファイルをアップロードするか、テキスト領域にポリシーの内容を入力して [保存] を選択します。 ポリシーの例を参照してください。

   ファイルのアップロード オプションには、ポリシーのプレビューがテキスト形式で表示されます。ポリシーのプレビューは編集できません。

7. 上部のメニューにある [Refresh](最新の情報に更新) をクリックして、構成済みのポリシーを表示します

構成証明プロバイダーがポリシー署名要件付きで作成されている場合は、次の手順に従って、ポリシーを JWT 形式でアップロードします。

1. Azure portal のメニューまたはホーム ページに移動し、 [すべてのリソース] を選択します。

2. フィルター ボックスに、構成証明プロバイダーの名前を入力します。

3. 構成証明プロバイダーを選択し、概要ページに移動します

4. 下部のペインまたはウィンドウの左側のリソース メニューで [ポリシー] を選択します。

5. 上部のメニューにある [構成] を選択します。

6. 署名付き JWT 形式でポリシー ファイルをアップロードし、 [保存] を選択します。 ポリシーの例を参照してください。

   構成証明プロバイダーがポリシー署名要件付きで作成されている場合、ユーザーは、署名付き JWT 形式でのみポリシーをアップロードできます

   ファイルのアップロード オプションには、ポリシーのプレビューがテキスト形式で表示されます。ポリシーのプレビューは編集できません。

7. [Refresh](最新の情報に更新) を選択して、構成済みのポリシーを表示します。

次のステップ

• 構成証明ポリシーを作成して署名する方法
• コード サンプルを使用して SGX エンクレーブの構成証明を行う