如要驗證認證權杖,Confidential Space 必須從 Cloud Storage 值區下載憑證。如果這些值區位於周邊以外,您必須設定下列輸出規則:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
下表列出包含必要憑證的專案:
| 專案 ID | 專案編號 | 說明 |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | 內含認證憑證的專案 |
| cloud-shielded-ca-prod-root | 180376494128 | 包含根憑證的專案 |
如果服務安全防護範圍限制了 Compute Engine API,您必須建立下列輸出規則:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
下表列出擷取 Confidential Space VM 映像檔時必須使用的專案:
| 專案 ID | 專案編號 | 說明 |
|---|---|---|
| confidential-space-images | 30229352718 | 包含 Confidential Space VM 映像檔的專案 |