Quickstart: Azure Attestation instellen met Azure CLI
Ga aan de slag met het instellen van Azure Attestation met Azure CLI.
Vereisten
Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
Aan de slag
Installeer deze extensie met behulp van de CLI-opdracht
az extension add --name attestationControleer de versie
az extension show --name attestation --query versionGebruik de volgende opdracht om u aan te melden bij Azure:
az loginAls dat nodig is, schakelt u over naar het abonnement voor Azure Attestation:
az account set --subscription 00000000-0000-0000-0000-000000000000Registreer de resourceprovider Microsoft.Attestation in het abonnement met de opdracht az provider register:
az provider register --name Microsoft.AttestationZie Azure-resourceproviders en -typen voor meer informatie over Azure-resourceproviders en het configureren en het beheren ervan.
Notitie
U hoeft slechts één keer per abonnement een resourceprovider te registreren.
Maak een resource groep voor de Attestation-provider. U kunt andere Azure-resources in dezelfde resourcegroep plaatsen, met inbegrip van een virtuele machine met een client-toepassingsexemplaar). Voer de opdracht az group create uit om een resourcegroep te maken, of gebruik een bestaande resourcegroep:
az group create --name attestationrg --location uksouth
Maak en beheer een Attestation-provider
Hier vindt u de opdrachten die u kunt gebruiken om de attestation-provider te maken en beheren:
Voer de opdracht az attestation create uit om een attestation-provider zonder beleidsondertekeningsvereiste te maken:
az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westusVoer de opdracht az attestation show uit om eigenschappen van de attestation-provider op te halen, zoals status en AttestURI:
az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"Deze opdracht zorgt ervoor dat er waarden worden weergegeven zoals in de volgende uitvoer:
Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider Location: MyLocation ResourceGroupName: MyResourceGroup Name: MyAttestationProvider Status: Ready TrustModel: AAD AttestUri: https://MyAttestationProvider.us.attest.azure.net Tags: TagsTable:
U kunt een attestation-provider verwijderen met behulp van de opdracht az attestation delete:
az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"
Beleidsbeheer
Gebruik de opdrachten die hieronder worden beschreven, om beleidsbeheer voor een attestation-provider te kunnen bieden, één attestation-type per keer.
De opdracht az attestation policy show retourneert het huidige beleid voor de opgegeven TEE:
az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK
Notitie
De opdracht geeft beleid weer in zowel tekst- als JWT-indeling.
De volgende typen TEE worden ondersteund:
SGX-IntelSDKSGX-OpenEnclaveSDKTPM
Gebruik de opdracht az attestation policy set om nieuw beleid voor het opgegeven attestation-type in te stellen.
Beleid in de tekstindeling instellen voor een opgegeven attestation-type met behulp van het bestandspad:
az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"
Beleid in de JWT-indeling instellen voor een opgegeven attestation-type met behulp van het bestandspad:
az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT