Zur Validierung des Attestierungstokens muss Confidential Space Zertifikate aus Cloud Storage-Buckets herunterladen. Wenn sich diese Bucket außerhalb Ihres Perimeters befinden, müssen Sie die folgende Regel für ausgehenden Traffic konfigurieren:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
In der folgenden Tabelle sind die Projekte mit den erforderlichen Zertifikaten aufgeführt:
| Projekt-ID | Projektnummer | Beschreibung |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Projekt mit Attestierungszertifikaten |
| cloud-shielded-ca-prod-root | 180376494128 | Projekt mit Stammzertifikaten |
Wenn die Compute Engine API durch Ihren Dienstperimeter eingeschränkt ist, müssen Sie die folgende Ausgehende Regel erstellen:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
In der folgenden Tabelle ist das Projekt aufgeführt, das zum Abrufen von VM-Images für vertrauliche Gruppen erforderlich ist:
| Projekt-ID | Projektnummer | Beschreibung |
|---|---|---|
| confidential-space-images | 30229352718 | Projekt mit VM-Images für Confidential Space |