Questa pagina è stata tradotta dall'API Cloud Translation.

Dichiarazioni relative ai token di attestazione

La tabella seguente descrive i claim di primo livello supportati nel token di attestazione. Questi elementi sono conformi alla specifica OpenID Connect 1.0.

Scopri di più sui token di attestazione

Chiave	Tipo	Descrizione
Titolo
x5c	Stringa	Presente solo nei token PKI. La catena di certificati rispetto alla quale convalidare i token PKI. Puoi scaricare il certificato radice dall' endpoint di convalida dei token PKI.
Payload dei dati JSON
`attester_tcb`	Array di stringhe	Uno o più componenti della base di calcolo attendibile (TCB). Questa affermazione serve a specificare la fonte delle prove dell'attestazione. Per `hwmodel claim "GCP_INTEL_TDX"` su Confidential Space, il valore è impostato su `["INTEL"]`, a indicare che la radice di attendibilità dell'attestazione proviene da una tecnologia hardware specifica per Intel.
`aud`	Stringa	Il pubblico. Per il token predefinito utilizzato con un pool di identità di carico di lavoro, il segmento di pubblico è `https://sts.googleapis.com`. Questo token viene recuperato ogni ora dal programma di avvio nell'istanza Confidential VM. Per i token con segmenti di pubblico personalizzati, il segmento di pubblico viene ripetuto da quello nella richiesta del token. La lunghezza massima è di 512 byte.
`dbgstat`	Stringa	Lo stato di debug dell'hardware. Nelle immagini di produzione, il valore è `disabled-since-boot`. Nelle immagini di debug, il valore è `enabled`.
`eat_nonce`	Stringa o array di stringhe	Uno o più nonce per il token di attestazione. I valori vengono ripetuti dalle opzioni del token inviate nella richiesta del token personalizzato. Ogni nonce deve essere compreso tra 8 e 88 byte inclusi. Sono consentiti al massimo sei nonce.
`exp`	Int, timestamp Unix	La data e l'ora di scadenza a partire dalle quali il token non deve essere accettato per l'elaborazione. Il valore è un numero JSON che rappresenta il numero di secondi da `1970-01-01T0:0:0Z` misurato in UTC fino al momento della scadenza.
`google_service_accounts`	Array di stringhe	Gli account di servizio convalidati che eseguono il workload Confidential Space.
`hwmodel`	Stringa	L'identificatore univoco del token hardware. Di seguito sono riportati i valori validi: `GCP_AMD_SEV` `GCP_AMD_SEV_ES` `GCP_SHIELDED_VM` `GCP_INTEL_TDX` (Anteprima)
`iat`	Int, timestamp Unix	L'ora in cui è stato emesso il JWT. Il valore è un numero JSON che rappresenta il numero di secondi da `1970-01-01T0:0:0Z` misurato in UTC fino all'ora del problema.
`iss`	Stringa	L'emittente del token, impostato su `https://confidentialcomputing.googleapis.com`.
`nbf`	Int, timestamp Unix	L'ora prima della quale il JWT non può essere utilizzato per l'elaborazione.
`oemid`	Uint64	Il numero PEN (Private Enterprise Number) di Google, ovvero `11129`.
`secboot`	Booleano	Se l'avvio protetto è abilitato, il che garantisce che il firmware e il sistema operativo siano stati autenticati durante il processo di avvio della VM. Questo valore è sempre `true`.
`sub`	Stringa	L'oggetto, ovvero l'ID macchina virtuale completo della VM con accesso riservato. Ad esempio, `https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID`. Questo formato è noto come selfLink dell'istanza.
`submods`	Array	Una serie di rivendicazioni diverse. Consulta Claim di Submods.
`swname`	Stringa	Il nome del sistema operativo approvato per la VM. I valori sono `CONFIDENTIAL_SPACE` o `GCE`. Il valore `CONFIDENTIAL_SPACE` è solo per le immagini rafforzate che hanno superato tutte le convalide.
`swversion`	Array di stringhe	La versione del sistema operativo. Il valore è un array di stringhe che contiene un solo valore. La versione segue il formato `YYYYMM##`, dove `##` è un contatore del numero di immagini rilasciate prima dell'immagine utilizzata nello stesso mese.

Rivendicazioni dei submod

La seguente tabella descrive i claim submods nel token di attestazione.

Chiave	Tipo	Descrizione
`confidential_space.support_attributes`	Array di stringhe	Il valore può contenere `USABLE`, `STABLE` e `LATEST`. Per maggiori informazioni, consulta Ciclo di vita delle immagini di Confidential Space.
`confidential_space.monitoring_enabled`	Array di oggetti	Mostra il tipo di monitoraggio del sistema abilitato. Il valore può essere `{"memory":false}` o `{"memory":true}`.
`container`	Oggetto	Consulta la sezione Rivendicazioni dei contenitori dei carichi di lavoro.
`gce`	Oggetto	Consulta la sezione Rivendicazioni di Compute Engine.

Rivendicazioni dei container dei carichi di lavoro

La seguente tabella descrive i claim container nel token di attestazione. Per ulteriori informazioni su queste affermazioni, consulta Affermazioni di attestazione.

Chiave	Tipo	Descrizione
`args`	Array di stringhe	Il `argv` completo con cui viene invocato il contenitore. Questa rivendicazione include il percorso dell'entrypoint del contenitore e eventuali argomenti aggiuntivi della riga di comando.
`cmd_override`	Array di stringhe	I comandi e i parametri CMD utilizzati nell'immagine del carico di lavoro.
`env`	Array di oggetti	Le variabili di ambiente e i relativi valori che sono stati esplicitamente passati al contenitore.
`env_override`	Array di oggetti	Le variabili di ambiente sovrascritte nel contenitore.
`image_digest`	Stringa	Il digest dell'immagine del contenitore del carico di lavoro.
`image_id`	Stringa	L'ID immagine del contenitore del carico di lavoro.
`image_reference`	Stringa	La posizione del contenitore del carico di lavoro in esecuzione in Confidential Space.
`image_signatures`	Array di oggetti	Consulta Claim di firma dell'immagine del container.
`restart_policy`	Stringa	Il criterio di riavvio del programma di avvio del contenitore quando il carico di lavoro si interrompe. I valori validi sono `Always`, `OnFailure` e `Never`. Il valore predefinito è `Never`.

Richieste di Compute Engine

La seguente tabella descrive i claim gce nel token di attestazione.

Chiave	Tipo	Descrizione
`instance_id`	Stringa	L'ID istanza VM.
`instance_name`	Stringa	Il nome dell'istanza VM.
`project_id`	Stringa	L' ID progetto del progetto in cui è in esecuzione la VM.
`project_number`	Stringa	Il numero del progetto in cui è in esecuzione la VM.
`zone`	Stringa	La zona di Compute Engine in cui è in esecuzione la VM Confidential.

Rivendicazioni di firme delle immagini container

La seguente tabella descrive i claim image_signatures nel token di attestazione.

Chiave Tipo Descrizione

Chiave	Tipo	Descrizione
`key_id`	Stringa	L'impronta esadecimale della chiave pubblica. Per ottenere la impronta, puoi eseguire il seguente comando: openssl pkey -pubin -in `public_key.pem` -outform DER \| openssl sha256 dove `public_key.pem` è la tua chiave pubblica in formato PEM.
`signature`	Stringa	La firma con codifica base64 per un payload associato al contenitore firmato e che segue il formato di firma semplice.
`signature_algorithm`	Stringa	L'algoritmo utilizzato per firmare la chiave. Il valore sarà uno dei seguenti: `RSASSA_PSS_SHA256` (RSASSA-PSS con un digest SHA-256) `RSASSA_PKCS1V15_SHA256` (RSASSA-PKCS1 v1_5 con un digest SHA-256) `ECDSA_P256_SHA256` (ECDSA sulla curva P-256 con un digest SHA-256)

key_id

Stringa

L'impronta esadecimale della chiave pubblica. Per ottenere la impronta, puoi eseguire il seguente comando:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

dove public_key.pem è la tua chiave pubblica in formato PEM.

signature Stringa La firma con codifica base64 per un payload associato al contenitore firmato e che segue il formato di firma semplice.

signature_algorithm

Stringa

L'algoritmo utilizzato per firmare la chiave. Il valore sarà uno dei seguenti:

RSASSA_PSS_SHA256 (RSASSA-PSS con un digest SHA-256)
RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 con un digest SHA-256)
ECDSA_P256_SHA256 (ECDSA sulla curva P-256 con un digest SHA-256)

Passaggi successivi

Per ulteriori informazioni sui claim di attestazione, consulta la bozza IETF relativa al token di attestazione dell'entità (EAT).
Per ulteriori informazioni sui claim dei token OpenID, consulta la documentazione di OpenID Connect Core 1.0.