Revendications de jetons d'attestation

Le tableau suivant décrit les revendications de premier niveau acceptées dans le jeton d'attestation. Ces éléments sont conformes à la spécification OpenID Connect 1.0.

En savoir plus sur les jetons d'attestation

Clé Type Description
En-tête
x5c Chaîne Présent uniquement dans les jetons PKI. Chaîne de certificats permettant de valider les jetons PKI. Vous pouvez télécharger le certificat racine depuis le point de terminaison de validation du jeton PKI.
Charge utile de données JSON
attester_tcb Tableau de chaînes.

Un ou plusieurs composants TCB (Trusted Computing Base). Cette revendication permet de spécifier la source des preuves d'attestation.

Pour hwmodel claim "GCP_INTEL_TDX" sur Confidential Space, la valeur est définie sur ["INTEL"], ce qui indique que la racine de confiance de l'attestation provient d'une technologie matérielle spécifique à Intel.
aud Chaîne

L'audience. Pour le jeton par défaut utilisé avec un pool d'identités de charge de travail, l'audience est https://sts.googleapis.com. Ce jeton est récupéré toutes les heures par le lanceur dans l'instance Confidential VM.

Pour les jetons avec des audiences personnalisées, l'audience est reprise de l'audience dans la demande de jeton. La valeur ne doit pas dépasser 512 octets.
dbgstat Chaîne État de débogage du matériel. Dans les images de production, la valeur est disabled-since-boot. Dans les images de débogage, la valeur est enabled.
eat_nonce Chaîne ou tableau de chaînes Un ou plusieurs nonces pour le jeton d'attestation. Les valeurs sont reprises des options de jeton envoyées dans la demande de jeton personnalisé. Chaque nonce doit être compris entre 8 et 88 octets inclus. Vous ne pouvez pas utiliser plus de six nonces.
exp Int, code temporel Unix Délai d'expiration au-delà duquel le jeton ne doit plus être accepté pour traitement. La valeur est un nombre JSON qui représente le nombre de secondes écoulées depuis 1970-01-01T0:0:0Z (mesuré en UTC) jusqu'à l'heure d'expiration.
google_service_accounts Tableau de chaînes. Comptes de service validés qui exécutent la charge de travail Confidential Space.
hwmodel Chaîne

Identifiant unique du jeton matériel. Voici les valeurs valides :

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX
https://aws.amazon.com/tags Objet Consultez Revendications de tag de principal AWS.
iat Int, code temporel Unix Heure à laquelle le jeton JWT a été émis. La valeur est un nombre JSON qui représente le nombre de secondes écoulées depuis le 1970-01-01T0:0:0Z mesuré en UTC jusqu'à l'heure du problème.
iss Chaîne Émetteur du jeton, défini sur https://confidentialcomputing.googleapis.com.
nbf Int, code temporel Unix Heure avant laquelle le jeton JWT ne peut pas être utilisé pour le traitement.
oemid Uint64 Le numéro d'entreprise privée (PEN) de Google, qui est 11129.
secboot Booléen Indique si le démarrage sécurisé est activé. Il permet de s'assurer que le micrologiciel et le système d'exploitation ont été authentifiés lors du processus de démarrage de la VM. Cette valeur est toujours true.
sub Chaîne Sujet, qui correspond à l'ID complet de la machine virtuelle pour la Confidential VM. Par exemple : https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Ce format est connu sous le nom de selfLink de l'instance.
submods Tableau Cette vidéo fait l'objet de plusieurs réclamations. Consultez Réclamations concernant les sous-modules.
tdx Tableau Cette vidéo fait l'objet de plusieurs réclamations. Consultez les affirmations concernant Intel TDX.
swname Chaîne

Nom du système d'exploitation approuvé pour la VM.

Les valeurs sont : CONFIDENTIAL_SPACE ou GCE. La valeur CONFIDENTIAL_SPACE concerne les images Confidential Space renforcées et de débogage qui ont réussi toutes les validations.
swversion Tableau de chaînes.

Version du système d'exploitation. La valeur est un tableau de chaînes qui ne contient qu'une seule valeur.

La version suit le format YYYYMM##, où ## est un compteur du nombre d'images publiées avant l'image utilisée au cours du même mois.

Affirmations concernant Intel TDX

Le tableau suivant décrit les revendications tdx dans le jeton d'attestation.

Clé Type Description
gcp_attester_tcb_status Chaîne

Valeur de chaîne représentant l'état du niveau TCB de la plate-forme Google Cloud en cours d'évaluation. Pour en savoir plus sur tcbStatus, consultez la documentation de l'API du service de certification de provisionnement d'Intel.

Cette revendication indique que la version TCB TDX était à jour par rapport aux valeurs de référence d'Intel lorsque Google a commencé à déployer son micrologiciel. Toutefois, cela ne garantit pas que la flotte Google reste à jour avec les valeurs de référence TCB en temps réel d'Intel.
gcp_attester_tcb_date Chaîne Date TCB pour la plate-forme d'attestation Google Cloud . La valeur temporelle est exprimée en UTC au format ISO 8601 (YYYY-MM-DDThh:mm:ssZ).

Revendications des sous-modules

Le tableau suivant décrit les revendications submods dans le jeton d'attestation.

Clé Type Description
confidential_space.support_attributes Tableau de chaînes. La valeur peut contenir USABLE, STABLE et LATEST. Pour en savoir plus, consultez Cycle de vie des images Confidential Space.
confidential_space.monitoring_enabled Objet Indique le type de surveillance du système activé. La valeur peut être {"memory":false} ou {"memory":true}.
container Objet Consultez Revendications des conteneurs de charge de travail.
gce Objet Consultez Revendications Compute Engine.

Revendications des conteneurs de charge de travail

Le tableau suivant décrit les revendications container dans le jeton d'attestation. Pour en savoir plus sur ces revendications, consultez Assertions d'attestation.

Clé Type Description
args Tableau de chaînes. argv complet avec lequel le conteneur est appelé. Cette revendication inclut le chemin d'accès au point d'entrée du conteneur et tous les arguments de ligne de commande supplémentaires.
cmd_override Tableau de chaînes. Les commandes et les paramètres CMD utilisés dans l'image de charge de travail.
env Objet Variables d'environnement et leurs valeurs qui ont été explicitement transmises au conteneur.
env_override Objet Variables d'environnement écrasées dans le conteneur.
image_digest Chaîne Condensé de l'image du conteneur de charge de travail.
image_id Chaîne ID d'image du conteneur de charge de travail.
image_reference Chaîne Emplacement du conteneur de charge de travail exécuté dans Confidential Space.
image_signatures Tableau d'objets Consultez Revendications de signature d'image de conteneur.
restart_policy Chaîne Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête. Les valeurs valides sont Always, OnFailure et Never. La valeur par défaut est Never.

Réclamations Compute Engine

Le tableau suivant décrit les revendications gce dans le jeton d'attestation.

Clé Type Description
instance_id Chaîne ID de l'instance de VM.
instance_name Chaîne Nom de l'instance de VM.
project_id Chaîne L' ID du projet dans lequel la VM s'exécute.
project_number Chaîne Numéro du projet dans lequel la VM s'exécute.
zone Chaîne Zone Compute Engine dans laquelle la Confidential VM est exécutée.

Revendications de signature d'image de conteneur

Le tableau suivant décrit les revendications image_signatures dans le jeton d'attestation.

Clé Type Description
key_id Chaîne

Empreinte hexadécimale de la clé publique. Pour obtenir l'empreinte, vous pouvez exécuter la commande suivante :

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

public_key.pem correspond à votre clé publique au format PEM.
signature Chaîne Signature encodée en base64 pour une charge utile associée au conteneur signé et qui suit le format de signature simple.
signature_algorithm Chaîne

Algorithme utilisé pour signer la clé. Choisissez l'une des options suivantes :

  • RSASSA_PSS_SHA256 (RSASSA-PSS avec un condensé SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 avec un condensé SHA-256)
  • ECDSA_P256_SHA256 (ECDSA sur la courbe P-256 avec un condensé SHA-256)

Revendications de tag de principal AWS

Le tableau suivant décrit les revendications AWS_PrincipalTag dans le jeton d'attestation. Ces revendications sont placées dans les revendications https://aws.amazon.com/tags, dans l'objet principal_tags du jeton d'attestation. Pour en savoir plus sur la structure des revendications https://aws.amazon.com/tags, consultez Revendications de tag de compte principal AWS.

Clé Type Description
confidential_space.support_attributes Tableau de chaînes.

Revendication dérivée des attributs d'assistance. Il s'agit d'une représentation sous forme de chaîne concaténée des revendications d'origine.

Par exemple, si les revendications d'origine sont "Latest", "Stable" et "Usable", cet attribut contiendra "LATEST=STABLE=USABLE". Si la réclamation d'origine est "Utilisable", cet attribut contiendra "USABLE".
container.image_digest Tableau de chaînes. Consultez Revendications pour les conteneurs de charge de travail.

Les signatures et les condensés d'images de conteneur n'apparaissent pas ensemble dans un même jeton. Par conséquent, si vous utilisez container.image_digest dans vos règles AWS, vous devez supprimer toute référence à container.signatures.key_ids.
container.signatures.key_id Tableau de chaînes.

Liste concaténée des ID de clés de signature d'image de conteneur. Ce champ représente plusieurs ID de clés de signature regroupés dans une seule chaîne au sein du tableau.

Par exemple, si vous avez les ID de clé aKey1, zKey2 et bKey3, cette revendication contient la valeur aKey1=bKey3=zKey2.

Les signatures et les condensés d'images de conteneur n'apparaissent pas ensemble dans un même jeton. Par conséquent, si vous utilisez container.signatures.key_ids dans vos règles AWS, vous devez supprimer toutes les références à container.image_digest.

Pour en savoir plus sur les revendications de signature d'image de conteneur, consultez Stratégies AWS avec revendications de signature d'image de conteneur.
gce.project_id Tableau de chaînes. Consultez Revendications Compute Engine.
gce.zone Tableau de chaînes. Consultez Revendications Compute Engine.

Étapes suivantes