構成証明トークンを検証するには、Confidential Space が Cloud Storage バケットから証明書をダウンロードする必要があります。これらのバケットが境界外にある場合は、次の下り(外向き)ルールを構成する必要があります。
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
次の表に、必要な証明書を含むプロジェクトを示します。
| プロジェクト ID | プロジェクト番号 | 説明 |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | 構成証明証明書を含むプロジェクト |
| cloud-shielded-ca-prod-root | 180376494128 | ルート証明書を含むプロジェクト |
Compute Engine API がサービス境界で制限されている場合は、次の下り(外向き)ルールを作成する必要があります。
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
次の表に、Confidential Space VM イメージの取得に必要なプロジェクトを示します。
| プロジェクト ID | プロジェクト番号 | 説明 |
|---|---|---|
| confidential-space-images | 30229352718 | Confidential Space VM イメージを含むプロジェクト |