Per scoprire di più sull'utilizzo delle asserzioni di attestazione, consulta Creare un criterio di attestazione.
Le asserzioni disponibili per creare un criterio di attestazione sono descritte nella tabella seguente. Possono convalidare le affermazioni fatte dall'immagine di Confidential Space, dal contenitore del carico di lavoro e dalla VM.
Affermazioni sulle immagini
affermazione | Tipo | Descrizione |
---|---|---|
Interazione con:
|
Stringa definita |
Verifica che l'immagine Confidential Space sia la versione di debug o di produzione. I valori validi sono:
EsempiIl seguente codice verifica che venga utilizzata la versione di debug dell'immagine di Confidential Space:
Il seguente codice verifica che venga utilizzata la versione di produzione dell'immagine di Confidential Space:
|
assertion.submods.confidential_space.support_attributes |
Array di stringhe |
Verifica che la versione di sicurezza del TEE sia un'immagine di Confidential Space di produzione. Le immagini dello spazio riservato di debug non hanno un attributo di supporto impostato. Esistono tre attributi di supporto:
EsempioIl seguente codice verifica che venga utilizzata una versione stabile dell'immagine di Confidential Space:
|
assertion.swname |
Stringa definita |
Verifica il software in esecuzione nell'entità che esegue la verifica. Il valore è sempre Esempio
|
assertion.swversion |
Array di stringhe |
Verifica la versione software dell'immagine di Confidential Space. Ti consigliamo di utilizzare Esempio
|
Affermazioni del contenitore
affermazione | Tipo | Descrizione |
---|---|---|
Interazione con:
|
Array di stringhe |
Verifica i comandi e i parametri CMD utilizzati nell'immagine del carico di lavoro. EsempiIl seguente codice verifica che il CMD dell'immagine del carico di lavoro non sia stato sovrascritto:
Il seguente codice verifica che
|
Interazione con:
|
Oggetto JSON |
Verifica che le variabili di ambiente e i relativi valori siano stati passati esplicitamente al contenitore. EsempioIl seguente codice verifica che la variabile di ambiente
|
Interazione con:
|
Stringa |
Verifica se l'operatore del carico di lavoro ha sovrascritto le variabili di ambiente nel container. EsempiIl codice seguente verifica che l'operatore del carico di lavoro non abbia override della variabile di ambiente
Il codice seguente verifica che l'operatore del carico di lavoro non abbia soprascritto alcuna variabile di ambiente:
|
assertion.submods.container.image_digest |
Stringa |
Verifica il digest dell'immagine del contenitore del carico di lavoro. La specifica di questa condizione consente a più parti di concordare un carico di lavoro autorizzato che può accedere ai loro dati. Esempio
|
assertion.submods.container.image_id |
Stringa |
Verifica l'ID immagine del contenitore del carico di lavoro. Esempio
|
Interazione con:
|
Stringa |
Verifica la posizione del contenitore del carico di lavoro in esecuzione sopra l'immagine di Confidential Space. Esempio
|
Interazione con:
|
Oggetto JSON |
Verifica che l'immagine abbia una determinata firma o sia firmata da una chiave pubblica e da un algoritmo di firma. La specifica di questa condizione consente a più parti di concordare un carico di lavoro autorizzato che può accedere ai loro dati. L'affermazione può includere i seguenti elementi:
Esempio
|
Interazione con:
|
Stringa definita |
Verifica il criterio di riavvio del programma di avvio del contenitore quando il carico di lavoro si arresta. I valori validi sono:
Esempio
|
Verifiche VM
affermazione | Tipo | Descrizione |
---|---|---|
Interazione con:
|
Array di stringhe |
Verifica che un account di servizio specificato sia connesso alla VM che esegue il carico di lavoro o che sia stato elencato utilizzando Esempio
|
assertion.hwmodel |
Stringa |
Verifica la tecnologia Confidential Computing sottostante. Le piattaforme supportate sono le seguenti:
Esempio
|
Interazione con:
|
Booleano |
Verifica lo stato del monitoraggio nell'entità di attestazione. Esempio
|
assertion.submods.gce.instance_id |
Stringa |
Verifica l'ID istanza VM. Esempio
|
assertion.submods.gce.instance_name |
Stringa |
Verifica il nome dell'istanza VM. Esempio
|
assertion.submods.gce.project_id |
Stringa |
Verifica che nella VM sia in esecuzione un progetto Google Cloud con l'ID progetto specificato. Esempio
|
assertion.submods.gce.project_number |
Stringa |
Verifica che la VM sia in esecuzione in un progetto Google Cloud con il numero di progetto specificato. Esempio
|
Interazione con:
|
Stringa |
Verifica che la VM sia in esecuzione nella zona specificata. Esempio
|