Revendications de jetons d'attestation

Le tableau suivant décrit les revendications de niveau supérieur compatibles dans le jeton d'attestation. Ces éléments sont conformes à la spécification OpenID Connect 1.0.

En savoir plus sur les jetons d'attestation

Clé Type Description
En-tête
x5c Chaîne Présent uniquement dans les jetons PKI. Chaîne de certificats à utiliser pour valider les jetons PKI. Vous pouvez télécharger le certificat racine à partir du point de terminaison de validation des jetons PKI.
Charge utile de données JSON
attester_tcb Tableau de chaînes.

Un ou plusieurs composants TCB (Trusted Computing Base). Cette revendication permet de spécifier la source de la preuve d'attestation.

Pour hwmodel claim "GCP_INTEL_TDX" sur Confidential Space, la valeur est définie sur ["INTEL"], ce qui indique que la racine de confiance d'attestation provient d'une technologie matérielle spécifique à Intel.
aud Chaîne

L'audience. Pour le jeton par défaut utilisé avec un pool d'identités de charge de travail, l'audience est https://sts.googleapis.com. Ce jeton est extrait toutes les heures par le lanceur dans l'instance de VM Confidential.

Pour les jetons avec des audiences personnalisées, l'audience est renvoyée à partir de l'audience dans la requête de jeton. La longueur maximale est de 512 octets.
dbgstat Chaîne État de débogage du matériel. Dans les images de production, la valeur est disabled-since-boot. Dans les images de débogage, la valeur est enabled.
eat_nonce Chaîne ou tableau de chaînes Un ou plusieurs nonces pour le jeton d'attestation. Les valeurs sont renvoyées à partir des options de jeton envoyées dans la requête de jeton personnalisé. Chaque nonce doit être compris entre 8 et 88 octets inclus. Vous ne pouvez pas inclure plus de six nonces.
exp Int, code temporel Unix Date d'expiration à partir de laquelle le jeton ne doit plus être accepté pour le traitement. La valeur est un nombre JSON qui représente le nombre de secondes à partir de 1970-01-01T0:0:0Z, mesuré en UTC, jusqu'à l'heure d'expiration.
google_service_accounts Tableau de chaînes. Comptes de service validés qui exécutent la charge de travail Confidential Space.
hwmodel Chaîne

Identifiant unique du jeton matériel. Voici les valeurs valides:

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX (Preview)
iat Int, code temporel Unix Heure à laquelle le jeton JWT a été émis. La valeur est un nombre JSON qui représente le nombre de secondes à partir de 1970-01-01T0:0:0Z, mesuré en UTC, jusqu'à l'heure d'émission.
iss Chaîne Émetteur du jeton, défini sur https://confidentialcomputing.googleapis.com.
nbf Int, code temporel Unix Heure avant laquelle le jeton JWT ne peut pas être utilisé pour le traitement.
oemid Uint64 Le numéro d'entreprise privé (PEN) Google, qui est 11129.
secboot Booléen Indique si le démarrage sécurisé est activé, ce qui garantit que le micrologiciel et le système d'exploitation ont été authentifiés lors du processus de démarrage de la VM. Cette valeur est toujours true.
sub Chaîne L'objet, qui correspond à l'ID de machine virtuelle complet de la Confidential VM. Par exemple : https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Ce format est appelé selfLink de l'instance.
submods Tableau Différentes réclamations. Consultez la section Revendications de sous-modérations.
swname Chaîne

Nom du système d'exploitation approuvé pour la VM.

Les valeurs sont : CONFIDENTIAL_SPACE ou GCE. La valeur CONFIDENTIAL_SPACE ne concerne que les images renforcées qui ont réussi toutes les validations.
swversion Tableau de chaînes.

Version du système d'exploitation. La valeur est un tableau de chaînes ne contenant qu'une seule valeur.

La version suit le format YYYYMM##, où ## est un compteur du nombre d'images publiées avant l'image utilisée au cours du même mois.

Revendications de sous-modérateurs

Le tableau suivant décrit les revendications submods dans le jeton d'attestation.

Clé Type Description
confidential_space.support_attributes Tableau de chaînes. La valeur peut contenir USABLE, STABLE et LATEST. Pour en savoir plus, consultez la section Cycle de vie des images Confidential Space.
confidential_space.monitoring_enabled Tableau d'objets Indique le type de surveillance du système activé. La valeur peut être {"memory":false} ou {"memory":true}.
container Objet Consultez la section Revendications de conteneurs de charge de travail.
gce Objet Consultez la page Revendications Compute Engine.

Revendications de conteneurs de charge de travail

Le tableau suivant décrit les revendications container dans le jeton d'attestation. Pour en savoir plus sur ces revendications, consultez la section Attestations.

Clé Type Description
args Tableau de chaînes. argv complet avec lequel le conteneur est appelé. Cette revendication inclut le chemin d'accès au point d'entrée du conteneur et tous les arguments de ligne de commande supplémentaires.
cmd_override Tableau de chaînes. Les commandes et les paramètres CMD utilisés dans l'image de charge de travail.
env Tableau d'objets Les variables d'environnement et leurs valeurs qui ont été explicitement transmises au conteneur.
env_override Tableau d'objets Les variables d'environnement écrasées dans le conteneur.
image_digest Chaîne Condensé de l'image du conteneur de charge de travail.
image_id Chaîne ID de l'image du conteneur de charge de travail.
image_reference Chaîne Emplacement du conteneur de charge de travail exécuté dans Confidential Space.
image_signatures Tableau d'objets Consultez la section Revendications de signature d'image de conteneur.
restart_policy Chaîne Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête. Les valeurs valides sont Always, OnFailure et Never. La valeur par défaut est Never.

Revendications Compute Engine

Le tableau suivant décrit les revendications gce dans le jeton d'attestation.

Clé Type Description
instance_id Chaîne ID de l'instance de VM.
instance_name Chaîne Nom de l'instance de VM.
project_id Chaîne ID de projet du projet dans lequel la VM s'exécute.
project_number Chaîne Numéro du projet dans lequel la VM s'exécute.
zone Chaîne Zone Compute Engine dans laquelle la VM Confidential s'exécute.

Revendications de signature d'image de conteneur

Le tableau suivant décrit les revendications image_signatures dans le jeton d'attestation.

Clé Type Description
key_id Chaîne

Empreinte hexadécimale de la clé publique. Pour obtenir l'empreinte, vous pouvez exécuter la commande suivante:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

public_key.pem correspond à votre clé publique au format PEM.
signature Chaîne Signature encodée en base64 pour une charge utile associée au conteneur signé et qui suit le format de signature simple.
signature_algorithm Chaîne

Algorithme utilisé pour signer la clé. Choisissez l'une des options suivantes :

  • RSASSA_PSS_SHA256 (RSASSA-PSS avec un condensé SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 avec un condensé SHA-256)
  • ECDSA_P256_SHA256 (ECDSA sur la courbe P-256 avec un condensé SHA-256)

Étape suivante