为了验证其证明令牌,Confidential Space 需要从 Cloud Storage 存储分区下载证书。如果这些存储分区位于边界外,您必须配置以下出站规则:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
下表列出了包含必要证书的项目:
| 项目 ID | 项目编号 | 说明 |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | 包含认证证书的项目 |
| cloud-shielded-ca-prod-root | 180376494128 | 包含根证书的项目 |
如果 Compute Engine API 受到服务边界的限制,您必须创建以下出站规则:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
下表列出了提取 Confidential Space 虚拟机映像所需的项目:
| 项目 ID | 项目编号 | 说明 |
|---|---|---|
| confidential-space-images | 30229352718 | 包含 Confidential Space 虚拟机映像的项目 |