Démarrage rapide : Configurer Azure Attestation avec Azure CLI

Démarrez avec Azure Attestation en utilisant Azure CLI.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Bien démarrer

  1. Installer cette extension à l’aide de la commande CLI ci-dessous

    az extension add --name attestation
    
  2. Vérifier la version

    az extension show --name attestation --query version
    
  3. Utilisez la commande suivante pour vous connecter à Azure :

    az login
    
  4. Si nécessaire, basculez vers l’abonnement pour Azure Attestation :

    az account set --subscription 00000000-0000-0000-0000-000000000000
    
  5. Inscrivez le fournisseur de ressources Microsoft.Attestation dans l’abonnement avec la commande az provider register :

    az provider register --name Microsoft.Attestation
    

    Pour plus d’informations sur les fournisseurs de ressources Azure, y compris sur leur configuration et leur gestion, consultez Fournisseurs et types de ressources Azure.

    Notes

    L’inscription à l’abonnement ne se fait qu’une seule fois pour le fournisseur de ressources.

  6. Créez un groupe de ressources pour le fournisseur d’attestations. Vous pouvez placer d’autres ressources Azure dans ce même groupe de ressources, y compris une machine virtuelle avec une instance d’application cliente. Exécutez la commande az group create pour créer un groupe de ressources ou utiliser un groupe de ressources existant :

    az group create --name attestationrg --location uksouth
    

Créer et gérer un fournisseur d’attestations

Voici les commandes que vous pouvez utiliser pour créer et gérer le fournisseur d’attestation :

  1. Exécutez la commande az attestation create pour créer un fournisseur d’attestation sans exigence de signature de stratégie :

    az attestation create --name "myattestationprovider" --resource-group "MyResourceGroup" --location westus
    
  2. Exécutez la commande az attestation show pour récupérer les propriétés du fournisseur d’attestation, comme les propriétés status et AttestURI :

    az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup"
    

    Cette commande affiche des valeurs semblables aux suivantes :

    Id:/subscriptions/MySubscriptionID/resourceGroups/MyResourceGroup/providers/Microsoft.Attestation/attestationProviders/MyAttestationProvider
    Location: MyLocation
    ResourceGroupName: MyResourceGroup
    Name: MyAttestationProvider
    Status: Ready
    TrustModel: AAD
    AttestUri: https://MyAttestationProvider.us.attest.azure.net
    Tags:
    TagsTable:
    

Vous pouvez supprimer un fournisseur d’attestation à l’aide de la commande az attestation delete :

az attestation delete --name "myattestationprovider" --resource-group "sample-resource-group"

Gestion des stratégies

Utilisez les commandes décrites ici pour gérer les stratégies d’un fournisseur d’attestation, un type d’attestation à la fois.

La commande az attestation policy show retourne la stratégie actuelle pour l’environnement TEE spécifié :

az attestation policy show --name "myattestationprovider" --resource-group "MyResourceGroup" --attestation-type SGX-IntelSDK

Notes

La commande affiche la stratégie à la fois au format texte et au format JWT.

Les types de TEE suivants sont pris en charge :

  • SGX-IntelSDK
  • SGX-OpenEnclaveSDK
  • TPM

Utilisez la commande az attestation policy set permettant de définir une nouvelle stratégie pour le type d’attestation spécifié.

Si vous souhaitez définir la stratégie au format texte pour un genre donné de type d’attestation à l’aide du chemin de fichier :

az attestation policy set --name testatt1 --resource-group testrg --attestation-type SGX-IntelSDK --new-attestation-policy-file "{file_path}"

Pour définir la stratégie au format JWT pour un genre donné de type d’attestation à l’aide du chemin de fichier :

az attestation policy set --name "myattestationprovider" --resource-group "MyResourceGroup" \
--attestation-type SGX-IntelSDK -f "{file_path}" --policy-format JWT

Étapes suivantes