Para validar o token de atestado, o Confidential Space precisa fazer o download de certificados dos buckets do Cloud Storage. Se esses buckets estiverem fora do seu perímetro, configure a seguinte regra de saída:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
A tabela a seguir lista os projetos que contêm os certificados necessários:
| ID do projeto | Número do projeto | Descrição |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Projeto contendo certificados de atestado |
| cloud-shielded-ca-prod-root | 180376494128 | Projeto que contém certificados raiz |
Se a API Compute Engine estiver restrita pelo perímetro de serviço, crie a seguinte regra de saída:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
A tabela a seguir lista o projeto necessário para buscar imagens de VM do espaço confidencial:
| ID do projeto | Número do projeto | Descrição |
|---|---|---|
| confidential-space-images | 30229352718 | Projeto que contém imagens de VM do Confidential Space |