Untuk memvalidasi token pengesahannya, Ruang Rahasia perlu mendownload sertifikat dari bucket Cloud Storage. Jika bucket ini berada di luar perimeter, Anda harus mengonfigurasi aturan egress berikut:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
Tabel berikut mencantumkan project yang berisi sertifikat yang diperlukan:
| ID Project | Nomor project | Deskripsi |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Project yang berisi sertifikat pengesahan |
| cloud-shielded-ca-prod-root | 180376494128 | Project yang berisi root certificate |
Jika Compute Engine API dibatasi oleh perimeter layanan, Anda harus membuat aturan keluar berikut:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
Tabel berikut mencantumkan project yang diperlukan untuk mengambil image VM Confidential Space:
| ID Project | Nomor project | Deskripsi |
|---|---|---|
| confidential-space-images | 30229352718 | Project yang berisi image VM Confidential Space |