Kirim masukan
Pernyataan pengesahan
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Untuk mempelajari lebih lanjut cara menggunakan pernyataan pengesahan, lihat
Membuat kebijakan pengesahan .
Pernyataan yang tersedia untuk membuat kebijakan pengesahan diuraikan dalam tabel berikut. Kebijakan dapat memvalidasi pernyataan yang dibuat oleh image Confidential Space, container workload, dan instance VM.
Pernyataan gambar
Pernyataan
Jenis
Deskripsi
assertion.dbgstat
Berinteraksi dengan:
String yang ditentukan
Memverifikasi bahwa image Confidential Space adalah versi debug atau
produksi.
Nilai yang valid adalah:
enable: Periksa apakah gambar debug sedang digunakan.
disabled-since-boot: Periksa apakah gambar produksi sedang digunakan.
Contoh
Kode berikut memverifikasi bahwa image Confidential Space versi debug sedang digunakan:
assertion.dbgstat == "enable"Kode berikut memverifikasi bahwa image Confidential Space versi produksi sedang digunakan:
assertion.dbgstat == "disabled-since-boot"
assertion.submods.confidential_space.support_attributesArray string
Memverifikasi bahwa versi keamanan TEE adalah image Confidential Space produksi. Gambar Confidential Space untuk proses debug tidak memiliki
set atribut dukungan.
Ada tiga atribut dukungan:
LATEST: Ini adalah versi terbaru gambar,
dan didukung. Gambar LATEST juga
STABLE dan USABLE.
STABLE: Versi image ini didukung
dan dipantau untuk mengetahui kerentanan. Gambar STABLE
juga USABLE.
USABLE: Gambar dengan hanya atribut ini tidak
didukung dan tidak lagi dipantau kerentanannya. Gunakan dengan
risiko Anda sendiri.
EXPERIMENTAL: Gambar yang hanya memiliki atribut ini
menggunakan fitur pratinjau. Fitur ini hanya untuk tujuan pengujian dan tidak boleh digunakan dalam produksi. Gambar
EXPERIMENTAL tidak pernah memiliki atribut
LATEST, STABLE, atau
USABLE.
Perhatian : Karena token default Confidential Space diperbarui setiap jam, menentukan LATEST tidak direkomendasikan untuk beban kerja yang berjalan lama. Image Confidential Space
dapat diupdate saat workload Anda berjalan, yang berarti
workload tidak lagi menggunakan versi terbaru dan gagal
pengesahan sebagai akibatnya.
Contoh
Kode berikut memverifikasi bahwa image Ruang Rahasia
versi stabil sedang digunakan:
"STABLE" in assertion.submods.confidential_space.support_attributes
assertion.swnameString yang ditentukan
Memverifikasi software yang berjalan di entitas yang membuktikan. Nilai
selalu CONFIDENTIAL_SPACE.
Contoh
assertion.swname == "CONFIDENTIAL_SPACE"
assertion.swversionArray string
Memverifikasi versi software image Confidential Space. Sebaiknya gunakan
assertion.submods.confidential_space.support_attributes
untuk menargetkan versi terbaru gambar.
Contoh
int(assertion.swversion[0]) == 230103
Pernyataan penampung
Pernyataan
Jenis
Deskripsi
assertion.submods.container.cmd_override
Berinteraksi dengan:
Array string
Memverifikasi perintah
CMD dan parameter yang digunakan dalam image workload.
Contoh
Kode berikut memverifikasi bahwa CMD image beban kerja belum ditimpa:
size(assertion.submods.container.cmd_override) == 0Kode berikut memverifikasi bahwa program adalah
satu-satunya konten dalam penggantian CMD:
assertion.submods.container.cmd_override == ['program']
assertion.submods.container.env
Berinteraksi dengan:
Objek JSON
Memverifikasi bahwa variabel lingkungan dan nilainya telah
diteruskan secara eksplisit ke container.
Contoh
Kode berikut memverifikasi bahwa variabel lingkungan
example-env-1 ditetapkan ke value-1, dan
example-env-2 ditetapkan ke value-2.
assertion.submods.container.env == {"example-env-1": "value-1", "example-env-2": "value-2"}
assertion.submods.container.env_override
Berinteraksi dengan:
String
Memverifikasi apakah operator workload telah mengganti variabel
lingkungan dalam container.
Contoh
Kode berikut memverifikasi bahwa operator beban kerja tidak
mengganti variabel lingkungan example:
!has(assertion.submods.container.env_override.example)Kode berikut memverifikasi bahwa operator workload belum
menimpa variabel lingkungan apa pun:
size(assertion.submods.container.env_override) == 0
assertion.submods.container.image_digestString
Memverifikasi ringkasan image container beban kerja. Dengan menentukan
kondisi ini, beberapa pihak dapat menyetujui workload
resmi yang diizinkan untuk mengakses data mereka.
Contoh
assertion.submods.container.image_digest == "sha256:837ccb607e312b170fac7383d7ccfd61fa5072793f19a25e75fbacb56539b86b"
assertion.submods.container.image_idString
Memverifikasi ID image container workload.
Contoh
assertion.submods.container.image_id == "sha256:652a44b0e911271ba07cf2915cd700fdfa50abd62a98f87a57fdebc59843d93f"
assertion.submods.container.image_reference
Berinteraksi dengan:
String
Memverifikasi lokasi container workload yang berjalan di atas
image Confidential Space.
Contoh
assertion.submods.container.image_reference == "us-docker.pkg.dev/PROJECT_ID/WORKLOAD_CONTAINER:latest"
assertion.submods.container.image_signatures
Berinteraksi dengan:
Objek JSON
Memverifikasi bahwa gambar memiliki tanda tangan tertentu atau ditandatangani oleh
algoritma penandatanganan dan kunci publik. Dengan menentukan kondisi ini, beberapa pihak dapat menyetujui workload yang diizinkan untuk mengakses data mereka.
Pernyataan dapat mencakup elemen berikut:
key_id: Sidik jari heksadesimal dari
kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah
berikut:
openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256Dengan public_key.pem adalah kunci publik Anda dalam format PEM.
signature: Tanda tangan pada payload yang
terkait dengan penampung bertanda tangan dan yang mengikuti
format Penandatanganan Sederhana .
signature_algorithm: Algoritma yang digunakan untuk
menandatangani kunci. Salah satu dari berikut ini:
RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan
SHA-256)RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5
dengan ringkasan SHA-256)ECDSA_P256_SHA256 (ECDSA pada Kurva P-256
dengan ringkasan SHA-256)
Contoh
assertion.swname == 'CONFIDENTIAL_SPACE' && ['ECDSA_P256_SHA256:PUBLIC_KEY_FINGERPRINT '].exists(fingerprint, fingerprint in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)) && 'serviceaccount.iam.gserviceaccount.com' in assertion.google_service_accounts"
assertion.submods.container.restart_policy
Berinteraksi dengan:
String yang ditentukan
Memverifikasi kebijakan mulai ulang peluncur container saat
beban kerja berhenti.
Nilai yang valid adalah:
Never (default)AlwaysOnFailure
Contoh
assertion.submods.container.restart_policy == "Never"
Pernyataan VM
Pernyataan
Jenis
Deskripsi
assertion.google_service_accounts
Berinteraksi dengan:
Array string
Memverifikasi bahwa akun layanan tertentu terhubung ke
VM yang menjalankan workload, atau telah dicantumkan menggunakan
tee-impersonate-service-accounts
dalam metadata VM.
Contoh
workload-service-account@my-project.iam.gserviceaccount.com in assertion.google_service_accounts
assertion.hwmodelString
Memverifikasi teknologi Confidential Computing yang mendasarinya. Platform
yang didukung adalah sebagai berikut:
Contoh
assertion.hwmodel == "GCP_AMD_SEV"
assertion.submods.confidential_space.monitoring_enabled
Berinteraksi dengan:
Boolean
Memverifikasi status pemantauan pada entitas yang membuktikan.
Contoh
assertion.submods.confidential_space.monitoring_enabled.memory == true
assertion.submods.gce.instance_idString
Memverifikasi ID instance VM.
Contoh
assertion.submods.gce.instance_id == "0000000000000000000"
assertion.submods.gce.instance_nameString
Memverifikasi nama instance VM.
Contoh
assertion.submods.gce.instance_name == "workload-vm"
assertion.submods.gce.project_idString
Memverifikasi bahwa VM menjalankan project Google Cloud dengan
project ID yang ditentukan.
Contoh
assertion.submods.gce.project_id == "project-id"
assertion.submods.gce.project_numberString
Memverifikasi bahwa VM berjalan di project Google Cloud dengan
nomor project yang ditentukan.
Contoh
assertion.submods.gce.project_number == "00000000000"
assertion.submods.gce.zone
Berinteraksi dengan:
Operator workload : Nilai
--zone
.
String
Memverifikasi bahwa VM berjalan di zona yang ditentukan.
Contoh
assertion.submods.gce.zone == "us-central1-a"
assertion.submods.nvidia_gpu.cc_mode
Berinteraksi dengan:
String yang ditentukan
Memverifikasi status driver Confidential Computing NVIDIA.
Nilai yang valid adalah:
OFF: tidak ada fitur Confidential Computing NVIDIA yang
aktif.
ON: hardware, firmware, dan
software NVIDIA H100 telah mengaktifkan fitur
komputasi rahasia sepenuhnya.
DEVTOOLS: GPU berada dalam mode komputasi rahasia
parsial yang cocok dengan alur kerja mode ON, tetapi menonaktifkan perlindungan keamanan.
Contoh
assertion.submods.nvidia_gpu.cc_mode == "ON"
Kirim masukan
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0 , sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0 . Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers . Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-08-18 UTC.
Ada masukan untuk kami?
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-18 UTC."],[[["\u003cp\u003eAttestation policies can validate assertions made by the Confidential Space image, the workload container, and the VM, using a variety of assertions.\u003c/p\u003e\n"],["\u003cp\u003eImage assertions, such as \u003ccode\u003eassertion.dbgstat\u003c/code\u003e and \u003ccode\u003eassertion.submods.confidential_space.support_attributes\u003c/code\u003e, verify the software version and security attributes of the Confidential Space image.\u003c/p\u003e\n"],["\u003cp\u003eContainer assertions, such as \u003ccode\u003eassertion.submods.container.cmd_override\u003c/code\u003e and \u003ccode\u003eassertion.submods.container.env\u003c/code\u003e, verify the configuration and integrity of the workload container, including environment variables and command overrides.\u003c/p\u003e\n"],["\u003cp\u003eVM assertions, including \u003ccode\u003eassertion.google_service_accounts\u003c/code\u003e and \u003ccode\u003eassertion.hwmodel\u003c/code\u003e, verify details about the virtual machine environment, such as service accounts, hardware model, and project information.\u003c/p\u003e\n"],["\u003cp\u003eThe table provided lists a multitude of assertions that can be used to create and enforce an attestation policy, with each assertion's type and a specific description.\u003c/p\u003e\n"]]],[],null,[]]
