Para validar o respetivo token de atestação, o espaço confidencial tem de transferir certificados de contentores do Cloud Storage. Se estes contentores residirem fora do seu perímetro, tem de configurar a seguinte regra de saída:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
A tabela seguinte lista os projetos que contêm os certificados necessários:
| ID do projeto | Número do projeto | Descrição |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Projeto que contém certificados de atestação |
| cloud-shielded-ca-prod-root | 180376494128 | Projeto que contém certificados de raiz |
Se a API Compute Engine estiver restrita pelo seu perímetro de serviço, tem de criar a seguinte regra de saída:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
A tabela seguinte lista o projeto necessário para obter imagens de VMs do espaço confidencial:
| ID do projeto | Número do projeto | Descrição |
|---|---|---|
| confidential-space-images | 30229352718 | Projeto que contém imagens de VMs do Confidential Space |