您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

快速入门:使用 Azure PowerShell 设置 Azure 证明

请按照以下步骤使用 Azure PowerShell 设置和配置证明提供程序。 要了解如何安装和运行 Azure PowerShell,请参阅 Azure PowerShell 概述

请注意,PowerShell 库已弃用传输层安全性 (TLS) 版本 1.0 和 1.1。 建议使用 TLS 1.2 或更高版本。 因此可能会收到以下错误:

  • 警告:无法解析包源“https://www.powershellgallery.com/api/v2”
  • PackageManagement\Install-Package:找不到与指定搜索条件和模块名称匹配的项

若要继续与 PowerShell 库进行交互,请在 Install-Module 命令之前运行以下命令

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 

安装 Az.Attestation PowerShell 模块

在具有 Azure PowerShell 的计算机上,安装 Az.Attestation PowerShell 模块,其中包含 Azure 证明的 cmdlet。

初始安装

终止所有现有 PowerShell 窗口。

若要为“当前用户”安装,请启动非提升的 PowerShell 窗口并运行:

Install-Module -Name Az.Attestation -AllowClobber -Scope CurrentUser

若要为“所有用户”安装,请启动提升的 PowerShell 窗口并运行:

Install-Module -Name Az.Attestation -AllowClobber -Scope AllUsers

关闭提升的 PowerShell 控制台。

更新安装

终止所有现有 PowerShell 窗口。

若要为“当前用户”更新,请启动非提升的 PowerShell 窗口并运行:

Update-Module -Name Az.Attestation

若要为“所有用户”更新,请启动提升的 PowerShell 窗口并运行:

Update-Module -Name Az.Attestation

关闭提升的 PowerShell 控制台。

获取已安装的模块

支持证明操作所需的 Az 模块的最低版本:

  • Az 4.5.0
  • Az.Accounts 1.9.2
  • Az.Attestation 0.1.8

运行以下命令,验证所有 Az 模块的已安装版本

Get-InstalledModule

如果版本与最低要求不匹配,请运行 Update-Module 命令。

登录 Azure

在 PowerShell 控制台中登录 Azure(无需提升的访问特权)。

Connect-AzAccount

如果需要,请切换到要用于 Azure 证明的订阅。

Set-AzContext -Subscription <subscription id>  

注册 Microsoft.Attestation 资源提供程序

在订阅中注册 Microsoft.Attestation 资源提供程序。 有关 Azure 资源提供程序以及如何配置和管理资源提供程序的详细信息,请参阅 Azure 资源提供程序和类型。 请注意,对于订阅,只需注册一次资源提供程序。

Register-AzResourceProvider -ProviderNamespace Microsoft.Attestation

Azure 证明的区域可用性

(Get-AzResourceProvider -ProviderNamespace Microsoft.Attestation)[0].Locations

创建 Azure 资源组

为证明提供程序创建资源组。 请注意,其他 Azure 资源(包括具有客户端应用程序实例的虚拟机)可以放在同一资源组中。

$location = "uksouth" 
$attestationResourceGroup = "<attestation provider resource group name>"
New-AzResourceGroup -Name $attestationResourceGroup -Location $location 

备注

在此资源组中创建证明提供程序后,Azure AD 用户必须具有该提供程序上的证明参与者角色,才能执行策略配置/策略签名者证书管理等操作。 这些权限还可以通过订阅/资源组上的所有者(通配符权限)/参与者(通配符权限)角色继承 。

创建和管理证明提供程序

New-AzAttestation 创建证明提供程序。

$attestationProvider = "<attestation provider name>" 
New-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location

PolicySignerCertificateFile 是用于指定一组受信任的签名密钥的文件。 如果为 PolicySignerCertificateFile 参数指定了文件名,则只能使用已签名 JWT 格式的策略配置证明提供程序。 否则,可以以文本或未签名 JWT 格式配置策略。

New-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Location $location -PolicySignersCertificateFile "C:\test\policySignersCertificates.pem"

有关 PolicySignersCertificateFile 示例,请参阅策略签名者证书的示例

Get-AzAttestation 检索证明提供程序属性(如 status 和 AttestURI)。 记下 AttestURI,因为稍后需要用到它。

Get-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup  

上述命令应生成如下所示的输出:

Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
Location: MyLocation
ResourceGroupName: MyResourceGroup
Name: MyAttestationProvider
Status: Ready
TrustModel: AAD
AttestUri: https://MyAttestationProvider.us.attest.azure.net 
Tags: 
TagsTable: 

可以使用 Remove-AzAttestation cmdlet 删除证明提供程序。

Remove-AzAttestation -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

策略管理

为了管理策略,Azure AD 用户需要对“操作”具有以下权限:

  • Microsoft.Attestation/attestationProviders/attestation/read
  • Microsoft.Attestation/attestationProviders/attestation/write
  • Microsoft.Attestation/attestationProviders/attestation/delete

若要执行这些操作,Azure AD 用户必须具有证明提供程序上的证明参与者角色。 这些权限还可以通过订阅/资源组上的所有者(通配符权限)/参与者(通配符权限)角色继承 。

为了读取策略,Azure AD 用户需要对“操作”具有以下权限:

  • Microsoft.Attestation/attestationProviders/attestation/read

若要执行此操作,Azure AD 用户必须具有证明提供程序上的证明读取者角色。 读取权限还可以通过订阅/资源组上的读取者(通配符权限)角色继承。

下面的 PowerShell cmdlet 为证明提供程序提供策略管理(一次一个 TEE)。

Get-AzAttestationPolicy 返回指定 TEE 的当前策略。 此 cmdlet 以策略的文本和 JWT 格式显示策略。

$teeType = "<tee Type>"
Get-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

支持的 TEE 类型为“SgxEnclave”、“OpenEnclave”和“VbsEnclave”。

Set-AttestationPolicy 为指定的 TEE 设置新策略。 cmdlet 接受文本或 JWT 格式的策略,并由 PolicyFormat 参数控制。 “Text”是 PolicyFormat 的默认值。

$policyFormat = "<policy format>"
$policy=Get-Content -path "C:\test\policy.txt" -Raw
Set-AzAttestationPolicy   -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType -Policy $policy -PolicyFormat $policyFormat 

如果在创建证明提供程序的过程中提供 PolicySignerCertificateFile,则只能以已签名的 JWT 格式配置策略。 否则,可以以文本或未签名 JWT 格式配置策略。

JWT 格式的证明策略必须包含名为“AttestationPolicy”的声明。 对于已签名的策略,必须用与任何现有策略签名者证书相对应的私钥对 JWT 进行签名。

有关策略示例,请参阅证明策略的示例

Reset-AzAttestationPolicy 将指定 TEE 的策略重置为默认值。

Reset-AzAttestationPolicy -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Tee $teeType 

策略签名者证书管理

下面的 PowerShell cmdlet 为证明提供程序提供策略签名者证书管理:

Get-AzAttestationPolicySigners -Name $attestationProvider -ResourceGroupName $attestationResourceGroup

Add-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

Remove-AzAttestationPolicySigner -Name $attestationProvider -ResourceGroupName $attestationResourceGroup -Signer <signer>

策略签名者证书是带有名为“maa-policyCertificate”的声明的签名 JWT。 声明的值为 JWK,其中包含要添加的受信任签名密钥。 必须用与任何现有策略签名者证书相对应的私钥对 JWT 进行签名。

请注意,策略签名者证书的所有语义操作都必须在 PowerShell 之外完成。 就 PowerShell 而言,它是一个简单的字符串。

有关策略签名者证书示例,请参阅策略签名者证书的示例

有关 cmdlet 及其参数的详细信息,请参阅 Azure 证明 PowerShell cmdlet

后续步骤