Halaman ini diterjemahkan oleh Cloud Translation API.

Klaim token pengesahan

Tabel berikut menjelaskan klaim tingkat teratas yang didukung dalam token pengesahan. Item ini mematuhi spesifikasi OpenID Connect 1.0.

Baca selengkapnya tentang token pengesahan

Kunci	Jenis	Deskripsi
Header
x5c	String	Hanya ada di token PKI. Rantai sertifikat yang akan digunakan untuk memvalidasi token PKI. Anda dapat mendownload root certificate dari endpoint validasi token PKI.
Payload data JSON
`attester_tcb`	Array string	Satu atau beberapa komponen TCB (trusted computing base). Klaim ini untuk menentukan sumber bukti pengesahan. Untuk `hwmodel claim "GCP_INTEL_TDX"` di Confidential Space, nilai ditetapkan ke `["INTEL"]`, yang menunjukkan bahwa root of trust pengesahan berasal dari teknologi hardware khusus Intel.
`aud`	String	Audiens. Untuk token default yang digunakan dengan workload identity pool, audiensnya adalah `https://sts.googleapis.com`. Token ini diambil setiap jam oleh peluncur di instance VM Rahasia. Untuk token dengan audiens kustom, audiens akan ditampilkan dari audiens dalam permintaan token. Panjang maksimumnya adalah 512 byte.
`dbgstat`	String	Status debug untuk hardware. Dalam image produksi, nilainya adalah `disabled-since-boot`. Dalam gambar debug, nilainya adalah `enabled`.
`eat_nonce`	String atau array string	Satu atau beberapa nonce untuk token pengesahan. Nilai tersebut ditampilkan dari opsi token yang dikirim dalam permintaan token kustom. Setiap nonce harus antara 8 dan 88 byte inklusif. Maksimum enam nonce diizinkan.
`exp`	Int, stempel waktu Unix	Waktu habis masa berlaku pada atau setelah token tidak boleh diterima untuk diproses. Nilainya adalah angka JSON yang mewakili jumlah detik dari `1970-01-01T0:0:0Z` seperti yang diukur dalam UTC hingga waktu habis masa berlaku.
`google_service_accounts`	Array string	Akun layanan tervalidasi yang menjalankan workload Confidential Space.
`hwmodel`	String	ID unik untuk token hardware. Berikut adalah nilai yang valid: `GCP_AMD_SEV` `GCP_AMD_SEV_ES` `GCP_SHIELDED_VM` `GCP_INTEL_TDX` (Pratinjau)
`iat`	Int, stempel waktu Unix	Waktu saat JWT diterbitkan. Nilainya adalah angka JSON yang mewakili jumlah detik dari `1970-01-01T0:0:0Z` seperti yang diukur dalam UTC hingga waktu masalah.
`iss`	String	Penerbit token, yang ditetapkan ke `https://confidentialcomputing.googleapis.com`.
`nbf`	Int, stempel waktu Unix	Waktu sebelum JWT tidak dapat digunakan untuk pemrosesan.
`oemid`	Uint64	Private Enterprise Number (PEN) Google, yaitu `11129`.
`secboot`	Boolean	Apakah Booting Aman diaktifkan, yang memastikan bahwa firmware dan sistem operasi diautentikasi selama proses booting VM. Nilai ini selalu `true`.
`sub`	String	Subjek, yang merupakan ID virtual machine yang sepenuhnya memenuhi syarat untuk Confidential VM. Contoh: `https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID` Format ini dikenal sebagai selfLink instance.
`submods`	Array	Array berbagai klaim. Lihat Klaim submod.
`swname`	String	Nama sistem operasi yang disetujui untuk VM. Nilainya adalah `CONFIDENTIAL_SPACE` atau `GCE`. Nilai `CONFIDENTIAL_SPACE` hanya untuk image yang di-harden yang lulus semua validasi.
`swversion`	Array string	Versi sistem operasi. Nilainya adalah array string yang hanya berisi satu nilai. Versi ini mengikuti format `YYYYMM##`, dengan `##` adalah penghitung untuk jumlah gambar yang dirilis sebelum gambar digunakan pada bulan yang sama.

Klaim sub-mod

Tabel berikut menjelaskan klaim submods dalam token pengesahan.

Kunci	Jenis	Deskripsi
`confidential_space.support_attributes`	Array string	Nilainya dapat berisi `USABLE`, `STABLE`, dan `LATEST`. Untuk mengetahui informasi selengkapnya, lihat Siklus proses image Confidential Space.
`confidential_space.monitoring_enabled`	Array objek	Menampilkan jenis pemantauan sistem yang diaktifkan. Nilainya dapat berupa `{"memory":false}` atau `{"memory":true}`.
`container`	Objek	Lihat Klaim penampung beban kerja.
`gce`	Objek	Lihat Klaim Compute Engine.

Klaim penampung workload

Tabel berikut menjelaskan klaim container dalam token pengesahan. Untuk mengetahui informasi selengkapnya tentang klaim ini, lihat Pernyataan pengesahan.

Kunci	Jenis	Deskripsi
`args`	Array string	`argv` lengkap yang digunakan untuk memanggil penampung. Klaim ini mencakup jalur titik entri penampung dan argumen command line tambahan.
`cmd_override`	Array string	Perintah CMD dan parameter yang digunakan dalam image workload.
`env`	Array objek	Variabel lingkungan dan nilainya yang telah diteruskan secara eksplisit ke penampung.
`env_override`	Array objek	Variabel lingkungan yang ditimpa di penampung.
`image_digest`	String	Ringkasan image container workload.
`image_id`	String	ID image penampung beban kerja.
`image_reference`	String	Lokasi penampung workload yang berjalan di Confidential Space.
`image_signatures`	Array objek	Lihat Klaim tanda tangan image container.
`restart_policy`	String	Kebijakan mulai ulang peluncur penampung saat beban kerja berhenti. Nilai yang valid adalah `Always`, `OnFailure`, dan `Never`. Default-nya adalah `Never`.

Klaim Compute Engine

Tabel berikut menjelaskan klaim gce dalam token pengesahan.

Kunci	Jenis	Deskripsi
`instance_id`	String	ID instance VM.
`instance_name`	String	Nama instance VM.
`project_id`	String	Project ID untuk project tempat VM berjalan.
`project_number`	String	Nomor project untuk project tempat VM berjalan.
`zone`	String	Zona Compute Engine tempat VM Rahasia berjalan.

Klaim tanda tangan image container

Tabel berikut menjelaskan klaim image_signatures dalam token pengesahan.

Kunci Jenis Deskripsi

Kunci	Jenis	Deskripsi
`key_id`	String	Sidik jari heksadesimal kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut: openssl pkey -pubin -in `public_key.pem` -outform DER \| openssl sha256 Dengan `public_key.pem` adalah kunci publik Anda dalam format PEM.
`signature`	String	Tanda tangan yang dienkode base64 untuk payload yang terkait dengan penampung yang ditandatangani dan mengikuti format Penandatanganan Sederhana.
`signature_algorithm`	String	Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini: `RSASSA_PSS_SHA256` (RSASSA-PSS dengan ringkasan SHA-256) `RSASSA_PKCS1V15_SHA256` (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256) `ECDSA_P256_SHA256` (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

key_id

String

Sidik jari heksadesimal kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

Dengan public_key.pem adalah kunci publik Anda dalam format PEM.

signature String Tanda tangan yang dienkode base64 untuk payload yang terkait dengan penampung yang ditandatangani dan mengikuti format Penandatanganan Sederhana.

signature_algorithm

String

Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini:

RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan SHA-256)
RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256)
ECDSA_P256_SHA256 (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

Langkah selanjutnya

Lihat draf IETF untuk Token Pengesahan Entitas (EAT) untuk mengetahui informasi selengkapnya tentang klaim pengesahan.
Lihat OpenID Connect Core 1.0 untuk informasi selengkapnya tentang klaim token OpenID.