Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подписывание артефактов является встроенным ресурсом Azure, который предоставляет полную поддержку типичных концепций Azure, таких как ресурсы. Как и в случае с любым другим ресурсом Azure, artifact Signing имеет собственный набор ресурсов и ролей, предназначенных для упрощения управления службой.
В этой статье представлены ресурсы и роли, относящиеся к подписи артефактов.
Типы ресурсов подписи артефактов
Подписывание артефактов имеет следующие типы ресурсов:
Учетная запись подписывания артефактов: учетная запись является логическим контейнером всех ресурсов, необходимых для завершения подписывания и управления доступом к конфиденциальным ресурсам.
Проверка удостоверений: Проверка удостоверений проверяет вашу организацию или вашу личность перед тем, как вы можете подписывать код. Проверенная организация или индивидуальная личность является источником атрибутов значений различающегося имени субъекта в профиле сертификата (например, различающееся имя субъекта
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Роли для проверки подлинности удостоверений назначаются арендным удостоверениям для создания этих ресурсов.Профили сертификатов: профиль сертификата — это атрибуты конфигурации, которые создают сертификаты, используемые для подписывания кода. Он также определяет модель доверия и сценарий, в соответствии с которым полагающиеся стороны используют подписанный контент. Роли подписывания назначаются этому ресурсу для авторизации идентичностей арендаторов для запроса на подписывание. Предварительным условием для создания любого профиля сертификата является завершение по крайней мере одного запроса проверки удостоверения.
В приведенной ниже структуре подписка Azure имеет группу ресурсов. В группе ресурсов можно использовать один или несколько ресурсов учетной записи для подписывания артефактов с одним или несколькими профилями проверки удостоверений и сертификатов.
Служба поддерживает политику общедоступного доверия, частного доверия, политику целостности кода (CI), анклав безопасности на основе виртуализации (VBS) и тестовые типы подписывания общедоступного доверия, поэтому полезно иметь несколько учетных записей подписывания артефактов и профилей сертификатов. Дополнительные сведения о типах профилей сертификатов и их использовании см. в разделе " Типы сертификатов и управление сертификатами для подписи артефактов".
Замечание
Проверка идентичности и профили сертификатов соответствуют общественному доверию или частному доверию. Проверка удостоверения Общественного Доверия используется только для профилей сертификатов, применяемых в модели Public Trust. Дополнительные сведения см. в разделе «Модели доверия подписывания артефактов».
Учетная запись для подписания артефактов
Учетная запись для подписания артефактов — это логический контейнер ресурсов, которые используются для завершения подписи сертификатов. Учетные записи для подписания артефактов могут использоваться для определения границ проекта или организации. В большинстве случаев одна учетная запись подписывания артефакта может удовлетворить все потребности подписи для отдельного человека или организации. Может потребоваться подписать множество артефактов, подписываемых с использованием одного и того же удостоверения (например, Contoso News, LLC), но на практике могут возникнуть ограничения на доступ к функции подписания. Вы можете выбрать учетную запись подписывания артефактов для каждого продукта или каждой команды, чтобы изолировать способ использования учетной записи или отслеживать подписывание. Однако этот шаблон изоляции можно также реализовать на уровне профиля сертификата.
Проверки удостоверений
Проверка удостоверений личности - это установление личности на сертификатах, используемых для подписи. Существует два типа: public Trust и Private Trust. Определение двух типов — это уровень проверки удостоверений, необходимый для завершения создания ресурса проверки удостоверения.
Public Trust означает, что все значения удостоверений должны быть проверены в соответствии с Практическим заявлением о сертификации сторонних служб Microsoft PKI Services (CPS). Это требование соответствует ожиданиям для общедоступных доверенных сертификатов для подписания артефактов.
Частное доверие предназначено для ситуаций, в которых существует установленное доверие к частному удостоверению между одной или многими проверяющими сторонами (потребителями подписей) или внутри управления приложениями или бизнес-сценариев (LOB). При проверке идентификаций системы Private Trust выполняется минимальная проверка атрибутов личности (например, значение
Organization Unit). Проверка тесно связана с клиентом Azure подписчика (например,Contoso.onmicrosoft.com). Значения в профилях сертификатов частного доверия не проверяются за пределами сведений о клиенте Azure.
Дополнительные сведения об общественном доверии и частном доверии см. в моделях доверия подписывания артефактов.
Профили сертификатов
Подписывание артефактов предоставляет всего пять типов профилей сертификатов, которые все подписчики могут использовать с согласованными и полными ресурсами проверки личности. Эти пять профилей сертификатов соответствуют проверке удостоверений «Public Trust» или «Private Trust», как указано далее.
-
Общедоступное доверие
Public Trust: используется для подписывания кода и артефактов, которые могут быть распределены публично. Этот профиль сертификата является доверенным по умолчанию на платформе Windows для подписывания кода.
анкла́в VBS: используется для подписывания анкла́вов безопасности на основе виртуализации в Windows.
Тест на публичное доверие: используется только для подписывания тестов и по умолчанию не признаётся общедоступным доверенным. Рассмотрите сертификаты Public Trust Test как превосходный вариант для подписывания сборки в процессе внутреннего цикла.
Замечание
Все сертификаты под типом профиля сертификата "Public Trust Test" включают EKU срока действия (
1.3.6.1.4.1.311.10.3.13), который требует, чтобы проверка учитывала срок действия сертификата подписи, независимо от наличия действительной контрасигнатуры с меткой времени.
-
Частное доверие
- Частное доверие: используется для подписывания внутренних или частных артефактов, таких как бизнес-приложения и контейнеры. Вы также можете использовать его для подписания файлов каталога в App Control for Business.
-
Политика CI частного доверия: профиль сертификата политики CI частного доверия является единственным типом, который не включает EKU подписывания кода (
1.3.6.1.5.5.7.3.3). Этот профиль сертификата предназначен для подписывания файлов политики CI в App Control для бизнеса.
Поддерживаемые роли
Управление доступом на основе ролей (RBAC) является основой для всех ресурсов Azure. Подписывание артефактов добавляет две пользовательские роли в соответствии с потребностями подписчика для создания проверки удостоверения (роль проверки удостоверения для подписывания артефакта) и подписывания с помощью профилей сертификатов (роль подписывания сертификата артефакта). Эти пользовательские роли должны быть назначены в обязательном порядке для выполнения этих двух критически важных функций при работе с подписью артефактов. В следующей таблице содержится полный список ролей, поддерживаемых подписанием артефактов, и их возможностей, включая все стандартные роли Azure.
| Role | Управление учетной записью и просмотр | Управление профилями сертификатов | Вход с помощью профиля сертификата | Просмотр журнала подписывания | Управление назначением ролей | Управление проверкой удостоверений |
|---|---|---|---|---|---|---|
| Средство проверки удостоверения для подписывания артефактов1 | X | |||||
| Профиль сертификата для подписания артефактов2 | X | X | ||||
| Владелец | X | X | X | |||
| Contributor | X | X | ||||
| Читатель | X | |||||
| Администратор доступа пользователей | X |
1 Требуется для создания или управления проверкой удостоверений. Доступно только на портале Azure.
2 Требуется для успешной подписи с использованием подписи артефакта.
Связанный контент
- Выполните краткое руководство по настройке подписи артефактов.
- Узнайте о моделях доверия для подписывания артефактов.
- Ознакомьтесь с концепцией сертификатов подписания артефактов и их управления.