Declaraciones de tokens de certificación

En la siguiente tabla, se describen los reclamos compatibles de nivel superior en el token de certificación. Estos elementos cumplen con la especificación de OpenID Connect 1.0.

Obtén más información sobre los tokens de certificación

Clave Tipo Descripción
Encabezado
x5c String Solo está presente en los tokens de PKI. Es la cadena de certificados con la que se deben validar los tokens de PKI. Puedes descargar el certificado raíz desde el extremo de validación de tokens de PKI.
Carga útil de datos JSON
attester_tcb Matriz de string

Uno o más componentes de la TCB (base de procesamiento confiable). Este reclamo es para especificar la fuente de la evidencia de certificación.

Para el hwmodel claim "GCP_INTEL_TDX" en Confidential Space, el valor se establece en ["INTEL"], lo que indica que la raíz de confianza de la certificación proviene de la tecnología de hardware específica de Intel.
aud String

El público Para el token predeterminado que se usa con un grupo de identidades para cargas de trabajo, el público es https://sts.googleapis.com. El selector recupera este token cada hora en la instancia de Confidential VM.

En el caso de los tokens con públicos personalizados, el público se repite desde el público en la solicitud de token. La longitud máxima es de 512 bytes.
dbgstat String Es el estado de depuración del hardware. En las imágenes de producción, el valor es disabled-since-boot. En las imágenes de depuración, el valor es enabled.
eat_nonce Cadena o array de cadenas Uno o más nonces para el token de certificación Los valores se repiten de las opciones de token que se envían en la solicitud de token personalizado. Cada nonce debe estar entre 8 y 88 bytes inclusive. Se permite un máximo de seis nonces.
exp Int, marca de tiempo de Unix Es la hora de vencimiento a partir de la cual no se debe aceptar el token para su procesamiento. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medida en UTC, hasta la hora de vencimiento.
google_service_accounts Matriz de string Las cuentas de servicio validadas que ejecutan la carga de trabajo de Confidential Space
hwmodel String

Es el identificador único del token de hardware. Estos son los valores válidos:
iat Int, marca de tiempo de Unix Es la hora en la que se emitió el JWT. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medidos en UTC, hasta la hora del problema.
iss String El emisor del token, que se establece en https://confidentialcomputing.googleapis.com.
nbf Int, marca de tiempo de Unix Es la hora antes de la cual no se puede usar el JWT para el procesamiento.
oemid Uint64 El número de empresa privada (PEN) de Google, que es 11129
secboot Booleano Si el inicio seguro está habilitado, lo que garantiza que el firmware y el sistema operativo se hayan autenticado durante el proceso de inicio de la VM. Este valor siempre es true.
sub String El asunto, que es el ID de máquina virtual completamente calificado de la VM confidencial. Por ejemplo, https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID. Este formato se conoce como el selfLink de la instancia.
submods Array Un array de varios reclamos. Consulta Afirmaciones de Submods.
swname String

Es el nombre del sistema operativo aprobado para la VM.

Los valores son CONFIDENTIAL_SPACE o GCE. El valor CONFIDENTIAL_SPACE es solo para imágenes endurecidas que aprobaron todas las validaciones.
swversion Matriz de string

Indica la versión del sistema operativo. El valor es un array de cadenas que solo contiene un valor.

La versión sigue el formato YYYYMM##, en el que ## es un contador de la cantidad de imágenes publicadas antes de la imagen que se usa en el mismo mes.

Declaraciones de Submods

En la siguiente tabla, se describen los reclamos submods en el token de certificación.

Clave Tipo Descripción
confidential_space.support_attributes Matriz de string El valor puede contener USABLE, STABLE y LATEST. Para obtener más información, consulta Ciclo de vida de las imágenes de Confidential Space.
confidential_space.monitoring_enabled Array de objetos Muestra qué tipo de supervisión del sistema está habilitada. El valor puede ser {"memory":false} o {"memory":true}.
container Objeto Consulta Afirmaciones de contenedores de carga de trabajo.
gce Objeto Consulta los afirmaciones de Compute Engine.

Declaraciones de contenedores de cargas de trabajo

En la siguiente tabla, se describen los reclamos container en el token de certificación. Para obtener más información sobre estas afirmaciones, consulta Afirmaciones de certificación.

Clave Tipo Descripción
args Matriz de string El argv completo con el que se invoca el contenedor. Esta declaración incluye la ruta de acceso del punto de entrada del contenedor y cualquier argumento adicional de la línea de comandos.
cmd_override Matriz de string Los comandos y parámetros de CMD que se usan en la imagen de la carga de trabajo
env Array de objetos Las variables de entorno y sus valores que se pasaron de forma explícita al contenedor
env_override Array de objetos Las variables de entorno reemplazadas en el contenedor
image_digest String El resumen de la imagen del contenedor de la carga de trabajo.
image_id String El ID de la imagen del contenedor de la carga de trabajo.
image_reference String Es la ubicación del contenedor de carga de trabajo que se ejecuta en Confidential Space.
image_signatures Array de objetos Consulta Afirmaciones de firma de la imagen de contenedor.
restart_policy String Es la política de reinicio del selector de contenedores cuando se detiene la carga de trabajo. Los valores válidos son Always, OnFailure y Never. El valor predeterminado es Never.

Declaraciones de Compute Engine

En la siguiente tabla, se describen los reclamos gce en el token de certificación.

Clave Tipo Descripción
instance_id String El ID de la instancia de VM.
instance_name String El nombre de la instancia de VM.
project_id String El ID del proyecto del proyecto en el que se ejecuta la VM.
project_number String Es el número del proyecto en el que se ejecuta la VM.
zone String La zona de Compute Engine en la que se ejecuta la VM confidencial

Reclamos de firma de imágenes de contenedor

En la siguiente tabla, se describen los reclamos image_signatures en el token de certificación.

Clave Tipo Descripción
key_id String

La huella digital hexadecimal de la clave pública. Para obtener la huella digital, puedes ejecutar el siguiente comando:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

En la que public_key.pem es tu clave pública en formato PEM.
signature String La firma codificada en base64 para una carga útil asociada con el contenedor firmado y que sigue el formato de firma simple.
signature_algorithm String

Es el algoritmo que se usa para firmar la clave. Uno de los siguientes:

  • RSASSA_PSS_SHA256 (RSASSA-PSS con un resumen SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 con un resumen SHA-256)
  • ECDSA_P256_SHA256 (ECDSA en la curva P-256 con un resumen SHA-256)

¿Qué sigue?