你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
机密计算的安全密钥发布策略 (SKR) 示例
SKR 只能根据 Microsoft Azure 证明 (MAA) 生成的声明释放可导出的标记密钥。 与 MAA 声明的 SKR 策略定义紧密集成。 可在此处找到受信任的执行环境 (T企业版) 的 MAA 声明。
有关如何自定义 SKR 策略的更多示例,请遵循策略 语法 。
Intel SGX 应用程序 Enclaves SKR 策略示例
示例 1: 作为 MAA 声明的一部分验证 MR 签名者(SGX enclave 签名者)详细信息的基于 Intel SGX 的 SKR 策略
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
示例 2: 作为 MAA 声明的一部分验证 MR 签名者(SGX enclave 签名者)或 MR Enclave 详细信息的基于 Intel SGX 的 SKR 策略
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
}
]
}
],
"version": "1.0.0"
}
示例 3: 基于 Intel SGX 的 SKR 策略,验证 MR 签名者(SGX enclave 签名器)和 MR Enclave,其中包含最小 SVN 号码详细信息,作为 MAA 声明的一部分
{
"anyOf": [
{
"authority": "https://sharedeus2.eus2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-sgx-mrsigner",
"equals": "9fa48b1629bd246a1de3d38fb7df97f6554cd65d6b3b72e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-mrenclave",
"equals": "9fa48b1629bg677jfsaawed7772e85b86848ae6b578ba"
},
{
"claim": "x-ms-sgx-svn",
"greater": 1
}
]
}
],
"version": "1.0.0"
}
机密 VM AMD 标准版基于 V-SNP 的 VM T企业版 SKR 策略示例
示例 1:一个 SKR 策略,用于验证这是否符合 Azure 的 CVM,并在真正的 AMD 标准版V-SNP 硬件上运行,并且 MAA URL 颁发机构分布在多个区域。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
},
{
"authority": "https://sharedeus2.weu2.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-cvm"
}
]
}
]
}
示例 2:一个 SKR 策略,用于验证 CVM 是否为符合 Azure 的 CVM,并在真正的 AMD 标准版V-SNP 硬件上运行,并且是已知的虚拟机 ID。 (VMID 在 Azure 中是唯一的)
{
"version": "1.0.0",
"allOf": [
{
"authority": "https://sharedweu.weu.attest.azure.net",
"allOf": [
{
"claim": "x-ms-isolation-tee.x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-isolation-tee.x-ms-compliance-status",
"equals": "azure-compliant-cvm"
},
{
"claim": "x-ms-azurevm-vmid",
"equals": "B958DC88-E41D-47F1-8D20-E57B6B7E9825"
}
]
}
]
}
Azure 容器实例 (ACI) SKR 策略上的机密容器示例
示例 1:ACI 上的机密容器在容器组启动时验证启动的容器和容器配置元数据,并添加了验证,即这是 AMD 标准版V-SNP 硬件。
注意
容器元数据是基于 rego 的策略哈希,如本示例所示。
{
"version": "1.0.0",
"anyOf": [
{
"authority": "https://fabrikam1.wus.attest.azure.net",
"allOf": [
{
"claim": "x-ms-attestation-type",
"equals": "sevsnpvm"
},
{
"claim": "x-ms-compliance-status",
"equals": "azure-compliant-uvm"
},
{
"claim": "x-ms-sevsnpvm-hostdata",
"equals": "532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25"
}
]
}
]
}