Pour valider son jeton d'attestation, Confidential Space doit télécharger des certificats à partir de buckets Cloud Storage. Si ces buckets se trouvent en dehors de votre périmètre, vous devez configurer la règle de sortie suivante:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
Le tableau suivant liste les projets contenant les certificats nécessaires:
| ID du projet | Numéro du projet | Description |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Projet contenant des certificats d'attestation |
| cloud-shielded-ca-prod-root | 180376494128 | Projet contenant des certificats racine |
Si l'API Compute Engine est limitée par votre périmètre de service, vous devez créer la règle de sortie suivante:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
Le tableau suivant liste le projet nécessaire pour extraire les images de VM Confidential Space:
| ID du projet | Numéro du projet | Description |
|---|---|---|
| confidential-space-images | 30229352718 | Projet contenant des images de VM Confidential Space |