En la siguiente tabla, se describen los reclamos admitidos de nivel superior en el token de certificación. Estos elementos cumplen con la especificación de OpenID Connect 1.0.
Obtén más información sobre los tokens de certificación
| Clave | Tipo | Descripción |
|---|---|---|
| Encabezado | ||
| x5c | String | Solo está presente en los tokens de PKI. Es la cadena de certificados con la que se validan los tokens de PKI. Puedes descargar el certificado raíz desde el extremo de validación de tokens de PKI. |
| Carga útil de datos JSON | ||
attester_tcb |
Matriz de string |
Uno o más componentes de la TCB (base de procesamiento confiable). Este reclamo se usa para especificar la fuente de evidencia de certificación. Para el |
aud |
String |
El público Para el token predeterminado que se usa con un grupo de identidades para cargas de trabajo, el público es En el caso de los tokens con públicos personalizados, el público se devuelve desde el público de la solicitud del token. La longitud máxima es de 512 bytes. |
dbgstat |
String | Es el estado de depuración del hardware. En las imágenes de producción, el valor es disabled-since-boot. En las imágenes de depuración, el valor es enabled. |
eat_nonce |
Cadena o array de cadenas | Uno o más nonces para el token de certificación. Los valores se repiten a partir de las opciones del token enviadas en la solicitud del token personalizado. Cada nonce debe tener entre 8 y 88 bytes inclusive. Se permite un máximo de seis nonces. |
exp |
Número entero, marca de tiempo de Unix | Es la fecha y hora de vencimiento a partir de las cuales no se debe aceptar el token para su procesamiento. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medidos en UTC, hasta la hora de vencimiento.
|
google_service_accounts |
Matriz de string | Son las cuentas de servicio validadas que ejecutan la carga de trabajo de Confidential Space. |
hwmodel |
String |
Es el identificador único del token de hardware. Estos son los valores válidos:
|
https://aws.amazon.com/tags |
Objeto | Consulta Reclamos de etiquetas principales de AWS. |
iat |
Número entero, marca de tiempo de Unix | Es la fecha y hora en que se emitió el JWT. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medidos en UTC, hasta la hora del problema. |
iss |
String | El emisor del token, que se establece en https://confidentialcomputing.googleapis.com. |
nbf |
Número entero, marca de tiempo de Unix | Es la fecha y hora anteriores a las cuales no se puede usar el JWT para el procesamiento. |
oemid |
Uint64 | El
Número de empresa privada (PEN)
de Google, que es 11129.
|
secboot |
Booleano | Indica si el inicio seguro está habilitado, lo que garantiza que el firmware y el sistema operativo se autenticaron durante el proceso de inicio de la VM. Este valor siempre es true. |
sub |
String | Es el asunto, que es el ID de la máquina virtual completamente calificado para la VM confidencial. Por ejemplo, https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID.
Este formato se conoce como
selfLink de la instancia.
|
submods |
Array | Es un array de varios reclamos. Consulta Reclamos de submods. |
tdx |
Array | Es un array de varios reclamos. Consulta las afirmaciones de Intel TDX. |
swname |
String |
Nombre del sistema operativo aprobado para la VM. Los valores son |
swversion |
Matriz de string |
Es la versión del sistema operativo. El valor es un array de cadenas que contiene solo un valor. La versión sigue el formato |
Afirmaciones sobre Intel TDX
En la siguiente tabla, se describen los reclamos de tdx en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
gcp_attester_tcb_status |
String |
Es un valor de cadena que representa el estado del nivel de TCB de la plataforma Google Cloud que se evalúa. Para obtener más información sobre Esta afirmación indica que la versión del TCB de TDX estaba actualizada con los valores de referencia de Intel cuando Google comenzó a lanzar el firmware. Sin embargo, no garantiza que la flota de Google se mantenga actualizada con los valores de referencia de TCB en tiempo real de Intel. |
gcp_attester_tcb_date |
String | Es la fecha del TCB de la plataforma de certificación Google Cloud .
El valor de tiempo está en UTC en formato ISO 8601
(YYYY-MM-DDThh:mm:ssZ).
|
Reclamos de submods
En la siguiente tabla, se describen los reclamos de submods en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
confidential_space.support_attributes |
Matriz de string | El valor puede contener USABLE, STABLE y LATEST. Para obtener más información, consulta
Ciclo de vida de las imágenes de Confidential Space.
|
confidential_space.monitoring_enabled |
Objeto | Muestra qué tipo de supervisión del sistema está habilitada. El valor puede ser {"memory":false} o {"memory":true}.
|
container |
Objeto | Consulta Reclamos de contenedores de carga de trabajo. |
gce |
Objeto | Consulta Reclamos de Compute Engine. |
Reclamos de contenedores de cargas de trabajo
En la siguiente tabla, se describen los reclamos de container en el token de certificación.
Para obtener más información sobre estas declaraciones, consulta Declaraciones de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
args |
Matriz de string | Es el argv completo con el que se invoca el contenedor. Este reclamo incluye la ruta de acceso del punto de entrada del contenedor y cualquier argumento adicional de la línea de comandos. |
cmd_override |
Matriz de string | Los comandos y parámetros de CMD que se usan en la imagen de la carga de trabajo. |
env |
Objeto | Son las variables de entorno y sus valores que se pasaron de forma explícita al contenedor. |
env_override |
Objeto | Son las variables de entorno anuladas en el contenedor. |
image_digest |
String | Es el resumen de la imagen del contenedor de la carga de trabajo. |
image_id |
String | Es el ID de la imagen del contenedor de la carga de trabajo. |
image_reference |
String | Es la ubicación del contenedor de carga de trabajo que se ejecuta en Confidential Space. |
image_signatures |
Array de objetos | Consulta Declaraciones de firma de imágenes de contenedor. |
restart_policy |
String | Es la política de reinicio del iniciador de contenedores cuando se detiene la carga de trabajo.
Los valores válidos son Always, OnFailure y Never. El valor predeterminado es Never. |
Reclamos de Compute Engine
En la siguiente tabla, se describen los reclamos de gce en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
instance_id |
String | Es el ID de la instancia de VM. |
instance_name |
String | Es el nombre de la instancia de VM. |
project_id |
String | El ID del proyecto del proyecto en el que se ejecuta la VM. |
project_number |
String | Es el número del proyecto en el que se ejecuta la VM. |
zone |
String | Zona de Compute Engine en la que se ejecuta la VM confidencial. |
Reclamos de firma de imágenes de contenedor
En la siguiente tabla, se describen las declaraciones de image_signatures en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
key_id |
String |
Es la huella digital hexadecimal de la clave pública. Para obtener la huella digital, puedes ejecutar el siguiente comando: openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256 Aquí, |
signature |
String | Firma codificada en Base64 para una carga útil asociada con el contenedor firmado y que sigue el formato de firma simple. |
signature_algorithm |
String |
Es el algoritmo que se usa para firmar la clave. Uno de los siguientes:
|
Declaraciones de etiquetas principales de AWS
En la siguiente tabla, se describen los reclamos de AWS_PrincipalTag en el token de certificación. Estos reclamos se colocan en los reclamos de https://aws.amazon.com/tags, en el objeto principal_tags del token de certificación.
Para obtener información sobre la estructura de la declaración https://aws.amazon.com/tags, consulta Declaraciones de etiquetas principales de AWS.
| Clave | Tipo | Descripción |
|---|---|---|
confidential_space.support_attributes |
Matriz de string |
Es un reclamo derivado de los atributos de asistencia. Es una representación de cadena concatenada de los reclamos originales. Por ejemplo, si las afirmaciones originales son "Latest", "Stable" y "Usable", este atributo contendrá "LATEST=STABLE=USABLE". Si el reclamo original es solo "Usable", este atributo contendrá "USABLE". |
container.image_digest |
Matriz de string | Consulta Reclamos de contenedores de carga de trabajo.
Las firmas y los resúmenes de imágenes de contenedor no aparecerán juntos en un solo token. Por lo tanto, si usas |
container.signatures.key_id |
Matriz de string |
Es una lista concatenada de IDs de claves de firma de imágenes de contenedor. Este campo representa varios IDs de claves de firma unidos en una sola cadena dentro del array. Por ejemplo, si tienes los IDs de clave Las firmas y los resúmenes de imágenes de contenedor no aparecerán juntos en un solo token. Por lo tanto, si usas Para obtener más información sobre las declaraciones de firma de imágenes de contenedor, consulta Políticas de AWS con declaraciones de firma de imágenes de contenedor. |
gce.project_id |
Matriz de string | Consulta Reclamos de Compute Engine. |
gce.zone |
Matriz de string | Consulta Reclamos de Compute Engine. |
¿Qué sigue?
Consulta el borrador del IETF sobre El token de certificación de entidad (EAT) para obtener más información sobre las declaraciones de certificación.
Consulta OpenID Connect Core 1.0 para obtener más información sobre las declaraciones de tokens de OpenID.