En la siguiente tabla, se describen los reclamos compatibles de nivel superior en el token de certificación. Estos elementos cumplen con la especificación de OpenID Connect 1.0.
Obtén más información sobre los tokens de certificación
| Clave | Tipo | Descripción |
|---|---|---|
| Encabezado | ||
| x5c | String | Solo está presente en los tokens de PKI. Es la cadena de certificados con la que se deben validar los tokens de PKI. Puedes descargar el certificado raíz desde el extremo de validación de tokens de PKI. |
| Carga útil de datos JSON | ||
attester_tcb |
Matriz de string |
Uno o más componentes de la TCB (base de procesamiento confiable). Este reclamo es para especificar la fuente de la evidencia de certificación. Para el |
aud |
String |
El público Para el token predeterminado que se usa con un grupo de identidades para cargas de trabajo, el público es En el caso de los tokens con públicos personalizados, el público se repite desde el público en la solicitud de token. La longitud máxima es de 512 bytes. |
dbgstat |
String | El estado de depuración del hardware. En las imágenes de producción, el valor es disabled-since-boot. En las imágenes de depuración, el valor es enabled. |
eat_nonce |
Cadena o array de cadenas | Uno o más nonces para el token de certificación Los valores se repiten de las opciones de token que se envían en la solicitud de token personalizado. Cada nonce debe estar entre 8 y 88 bytes inclusive. Se permite un máximo de seis nonces. |
exp |
Int, marca de tiempo de Unix | Es la hora de vencimiento a partir de la cual no se debe aceptar el token para su procesamiento. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medida en UTC, hasta la hora de vencimiento.
|
google_service_accounts |
Matriz de string | Las cuentas de servicio validadas que ejecutan la carga de trabajo de Confidential Space |
hwmodel |
String |
Es el identificador único del token de hardware. Estos son los valores válidos:
|
https://aws.amazon.com/tags |
Objeto | Consulta los afirmaciones de etiquetas principales de AWS. |
iat |
Int, marca de tiempo de Unix | Es la hora en la que se emitió el JWT. El valor es un número JSON que representa la cantidad de segundos desde 1970-01-01T0:0:0Z, medidos en UTC, hasta la hora del problema. |
iss |
String | El emisor del token, que se establece en https://confidentialcomputing.googleapis.com. |
nbf |
Int, marca de tiempo de Unix | Es la hora antes de la cual no se puede usar el JWT para el procesamiento. |
oemid |
Uint64 | El
número de empresa privada (PEN) de Google, que es 11129
|
secboot |
Booleano | Si el inicio seguro está habilitado, lo que garantiza que el firmware y el sistema operativo se hayan autenticado durante el proceso de inicio de la VM. Este valor siempre es true. |
sub |
String | El asunto, que es el ID de máquina virtual completamente calificado de la VM
confidencial. Por ejemplo, https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID.
Este formato se conoce como el
selfLink de la instancia.
|
submods |
Array | Un array de varios reclamos. Consulta Afirmaciones de Submods. |
tdx |
Array | Un array de varios reclamos. Consulta las declaraciones de Intel TDX. |
swname |
String |
Es el nombre del sistema operativo aprobado para la VM. Los valores son |
swversion |
Matriz de string |
Indica la versión del sistema operativo. El valor es un array de cadenas que solo contiene un valor. La versión sigue el formato |
Declaraciones de Intel TDX
En la siguiente tabla, se describen los reclamos tdx en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
gcp_attester_tcb_status |
String |
Es un valor de cadena que representa el estado a nivel del TCB de la Google Cloud plataforma que se evalúa. Para obtener más información sobre
Esta declaración indica que la versión del TCB de TDX estaba actualizada con los valores de referencia de Intel cuando Google comenzó su lanzamiento de firmware. Sin embargo, no garantiza que la flota de Google siga actualizada con los valores de referencia de la TCB en tiempo real de Intel. |
gcp_attester_tcb_date |
String | Es la fecha de la TCB para la plataforma de certificación. Google Cloud
El valor de hora es UTC en formato ISO 8601 (YYYY-MM-DDThh:mm:ssZ).
|
Reclamos de Submods
En la siguiente tabla, se describen los reclamos submods en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
confidential_space.support_attributes |
Matriz de string | El valor puede contener USABLE, STABLE y LATEST. Para obtener más información, consulta
Ciclo de vida de las imágenes de Confidential Space.
|
confidential_space.monitoring_enabled |
Array de objetos | Muestra qué tipo de supervisión del sistema está habilitada. El valor puede ser {"memory":false} o {"memory":true}.
|
container |
Objeto | Consulta Afirmaciones de contenedores de carga de trabajo. |
gce |
Objeto | Consulta los afirmaciones de Compute Engine. |
Declaraciones de contenedores de cargas de trabajo
En la siguiente tabla, se describen los reclamos container en el token de certificación.
Para obtener más información sobre estos reclamos, consulta Afirmaciones de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
args |
Matriz de string | El argv completo con el que se invoca el contenedor. Esta declaración incluye la ruta de acceso del punto de entrada del contenedor y cualquier argumento adicional de la línea de comandos. |
cmd_override |
Matriz de string | Los comandos y parámetros de CMD que se usan en la imagen de la carga de trabajo |
env |
Array de objetos | Las variables de entorno y sus valores que se pasaron de forma explícita al contenedor |
env_override |
Array de objetos | Las variables de entorno reemplazadas en el contenedor |
image_digest |
String | El resumen de la imagen del contenedor de la carga de trabajo |
image_id |
String | El ID de la imagen del contenedor de la carga de trabajo. |
image_reference |
String | La ubicación del contenedor de carga de trabajo que se ejecuta en Confidential Space. |
image_signatures |
Array de objetos | Consulta Afirmaciones de firma de la imagen de contenedor. |
restart_policy |
String | Es la política de reinicio del selector de contenedores cuando se detiene la carga de trabajo.
Los valores válidos son Always, OnFailure y Never. El valor predeterminado es Never. |
Declaraciones de Compute Engine
En la siguiente tabla, se describen los reclamos gce en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
instance_id |
String | El ID de la instancia de VM. |
instance_name |
String | Es el nombre de la instancia de VM. |
project_id |
String | El ID del proyecto del proyecto en el que se ejecuta la VM. |
project_number |
String | Es el número del proyecto en el que se ejecuta la VM. |
zone |
String | La zona de Compute Engine en la que se ejecuta la VM confidencial |
Reclamos de firma de imágenes de contenedor
En la siguiente tabla, se describen los reclamos image_signatures en el token de certificación.
| Clave | Tipo | Descripción |
|---|---|---|
key_id |
String |
La huella digital hexadecimal de la clave pública. Para obtener la huella digital, puedes ejecutar el siguiente comando: openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256 En este caso, |
signature |
String | La firma codificada en base64 para una carga útil asociada con el contenedor firmado y que sigue el formato de firma simple. |
signature_algorithm |
String |
Es el algoritmo que se usa para firmar la clave. Uno de los siguientes:
|
Declaraciones de etiquetas principales de AWS
En la siguiente tabla, se describen los reclamos AWS_PrincipalTag en el token de certificación. Estos se colocan en los reclamos https://aws.amazon.com/tags, en el objeto principal_tags del token de certificación.
Para obtener información sobre la estructura de los reclamos https://aws.amazon.com/tags, consulta Afirmaciones de etiquetas principales de AWS.
| Clave | Tipo | Descripción |
|---|---|---|
confidential_space.support_attributes |
Matriz de string |
Declaración derivada de atributos de compatibilidad Esta es una representación de cadena concatenada de los reclamos originales. Por ejemplo, si los reclamos originales son "Más reciente", "Estable" y "Utilizable", este atributo contendrá "LATEST=STABLE=USABLE". Si la declaración original solo es "Usable", este atributo contendrá "USABLE". |
container.image_digest |
Matriz de string | Consulta Afirmaciones de contenedores de cargas de trabajo.
Las firmas y los resúmenes de las imágenes de contenedor no aparecerán juntos en un solo token. Por lo tanto, si usas
|
container.signatures.key_id |
Matriz de string |
Es una lista concatenada de IDs de claves de firma de imágenes de contenedor. Este campo representa varios IDs de clave de firma unidos en una sola cadena dentro del array. Por ejemplo, si tienes los IDs de clave Las firmas y los resúmenes de las imágenes de contenedor no aparecerán juntos en un solo token. Por lo tanto, si usas
Para obtener más información sobre los reclamos de firma de imágenes de contenedores, consulta Políticas de AWS con reclamos de firma de imágenes de contenedores. |
gce.project_id |
Matriz de string | Consulta los afirmaciones de Compute Engine. |
gce.zone |
Matriz de string | Consulta los afirmaciones de Compute Engine. |
¿Qué sigue?
Consulta el borrador de IETF sobre el token de certificación de entidad (EAT) para obtener más información sobre los reclamos de certificación.
Consulta OpenID Connect Core 1.0 para obtener más información sobre los reclamos de tokens de OpenID.