Per convalidare il token di attestazione, Confidential Space deve scaricare i certificati dai bucket Cloud Storage. Se questi bucket si trovano al di fuori del tuo perimetro, devi configurare la seguente regola di uscita:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
La tabella seguente elenca i progetti contenenti i certificati necessari:
| ID progetto | Numero progetto | Descrizione |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Progetto contenente certificati di attestazione |
| cloud-shielded-ca-prod-root | 180376494128 | Progetto contenente certificati radice |
Se l'API Compute Engine è limitata dal perimetro del servizio, devi creare la seguente regola di uscita:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
La tabella seguente elenca il progetto necessario per recuperare le immagini della VM dello spazio riservato:
| ID progetto | Numero progetto | Descrizione |
|---|---|---|
| confidential-space-images | 30229352718 | Progetto contenente immagini VM Confidential Space |