Para validar su token de certificación, Confidential Space debe descargar certificados de los buckets de Cloud Storage. Si estos buckets residen fuera de tu perímetro, debes configurar la siguiente regla de salida:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
En la siguiente tabla, se indican los proyectos que contienen los certificados necesarios:
| ID del proyecto | Número del proyecto | Descripción |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Proyecto que contiene certificados de certificación |
| cloud-shielded-ca-prod-root | 180376494128 | Proyecto que contiene certificados raíz |
Si el perímetro de servicio restringe la API de Compute Engine, debes crear la siguiente regla de salida:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
En la siguiente tabla, se muestra el proyecto necesario para recuperar imágenes de VM de Confidential Space:
| ID del proyecto | Número del proyecto | Descripción |
|---|---|---|
| confidential-space-images | 30229352718 | Proyecto que contiene imágenes de VM de Confidential Space |