機密空間映像檔是單一用途的最低需求 OS,可在機密 VM 執行個體上執行。這項服務的設計宗旨是只執行一次工作負載,且不提供永久儲存空間。該工作負載會使用 Docker,疊加在 Confidential Space 映像檔上。
機密空間映像檔是以 Container-Optimized OS 的現有安全性強化功能為基礎建構而成,並提供下列優點:
加密磁碟分割區,並提供完整防護
經過驗證的加密網路連線
各種啟動測量
停用遠端存取和雲端專屬工具
圖片類型
機密空間圖片有兩種變體:
正式版:正式版映像檔用於執行實際工作負載,並使用實際的正式版資料。並鎖定,防止工作負載運算子存取處理後的資料。詳情請參閱「Confidential Space 安全總覽」。
偵錯:偵錯映像檔用於在非正式環境資料上測試工作負載。偵錯映像檔已啟用 SSH,且運算子擁有執行工作負載的 VM 的根存取權。執行偵錯映像檔的 VM 不會在工作負載完成後停止運作。
您可以在部署工作負載時,設定要使用的映像檔類型。
機密空間映像檔生命週期
使用 Confidential Space 映像檔建立 Confidential VM 時,系統會使用最新版本的映像檔。如果您一律在工作負載完成時刪除機密 VM,並在每次執行工作負載時建立新的 VM,則可確保映像檔為最新版本。
不過,如果工作負載執行時間過長,或是在過去建立的 VM 上執行工作負載,您可能會使用過時的 Confidential Space 映像檔,進而產生安全漏洞。
為減輕這項風險,資料協作者可以使用支援屬性,檢查 VM 上執行的正式版 Confidential Space 映像檔版本是否為最新版本,如果不是,則拒絕該版本存取資料。
支援的屬性有三種:
LATEST:這是最新版本的映像檔,支援並監控是否有安全漏洞。LATEST圖片也為STABLE和USABLE。STABLE:這個版本的映像檔受到支援,且會監控是否有安全漏洞。STABLE圖片也是USABLE。USABLE:如果圖片只有這個屬性,則不支援。您必須自行承擔使用風險。
映像檔版本
您可以使用下列 gcloud 指令查看最新的 Confidential Space 映像檔:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
下列標記可變更結果中傳回的圖片:
新增
--show-deprecated標記即可顯示舊版圖片。新增
--filter="family~'confidential-space$'"旗標,即可顯示製作圖片。新增
--filter="family~'confidential-space-debug$'"旗標,顯示偵錯圖片。
下表詳細說明可用的 Confidential Space 映像檔版本和支援屬性。
製作圖片
下表列出 Confidential Space 映像檔的正式版。
| 映像檔名稱 | Container-Optimized OS 版本 |
已釋出 |
|---|---|---|
LATEST的圖片 |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE 張圖片 |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
偵錯圖片
下表列出 Confidential Space 映像檔的偵錯版本。
| 映像檔名稱 | Container-Optimized OS 版本 |
已釋出 |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |