Le tableau suivant décrit les revendications de niveau supérieur compatibles dans le jeton d'attestation. Ces éléments sont conformes à la spécification OpenID Connect 1.0.
En savoir plus sur les jetons d'attestation
| Clé | Type | Description |
|---|---|---|
| En-tête | ||
| x5c | Chaîne | Présent uniquement dans les jetons PKI. Chaîne de certificats à utiliser pour valider les jetons PKI. Vous pouvez télécharger le certificat racine à partir du point de terminaison de validation des jetons PKI. |
| Charge utile de données JSON | ||
attester_tcb |
Tableau de chaînes. |
Un ou plusieurs composants TCB (Trusted Computing Base). Cette revendication permet de spécifier la source de la preuve d'attestation. Pour |
aud |
Chaîne |
L'audience. Pour le jeton par défaut utilisé avec un pool d'identités de charge de travail, l'audience est Pour les jetons avec des audiences personnalisées, l'audience est renvoyée à partir de l'audience dans la requête de jeton. La longueur maximale est de 512 octets. |
dbgstat |
Chaîne | État de débogage du matériel. Dans les images de production, la valeur est disabled-since-boot. Dans les images de débogage, la valeur est enabled. |
eat_nonce |
Chaîne ou tableau de chaînes | Un ou plusieurs nonces pour le jeton d'attestation. Les valeurs sont renvoyées à partir des options de jeton envoyées dans la requête de jeton personnalisé. Chaque nonce doit être compris entre 8 et 88 octets inclus. Vous ne pouvez pas inclure plus de six nonces. |
exp |
Int, code temporel Unix | Date d'expiration à partir de laquelle le jeton ne doit plus être accepté pour le traitement. La valeur est un nombre JSON qui représente le nombre de secondes à partir de 1970-01-01T0:0:0Z, mesuré en UTC, jusqu'à l'heure d'expiration.
|
google_service_accounts |
Tableau de chaînes. | Comptes de service validés qui exécutent la charge de travail Confidential Space. |
hwmodel |
Chaîne |
Identifiant unique du jeton matériel. Voici les valeurs valides:
|
https://aws.amazon.com/tags |
Objet | Consultez la section Revendications de balise principale AWS. |
iat |
Int, code temporel Unix | Heure à laquelle le jeton JWT a été émis. La valeur est un nombre JSON qui représente le nombre de secondes à partir de 1970-01-01T0:0:0Z, mesuré en UTC, jusqu'à l'heure d'émission. |
iss |
Chaîne | Émetteur du jeton, défini sur https://confidentialcomputing.googleapis.com. |
nbf |
Int, code temporel Unix | Heure avant laquelle le jeton JWT ne peut pas être utilisé pour le traitement. |
oemid |
uint64 | Le
numéro d'entreprise privé (PEN) Google, qui est 11129.
|
secboot |
Booléen | Indique si le démarrage sécurisé est activé, ce qui garantit que le micrologiciel et le système d'exploitation ont été authentifiés lors du processus de démarrage de la VM. Cette valeur est toujours true. |
sub |
Chaîne | L'objet, qui correspond à l'ID de machine virtuelle complet de la Confidential VM. Par exemple :
https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID
Ce format est appelé
selfLink de l'instance.
|
submods |
Tableau | Différentes réclamations. Consultez la section Revendications de sous-modérations. |
tdx |
Tableau | Différentes réclamations. Consultez les affirmations concernant Intel TDX. |
swname |
Chaîne |
Nom du système d'exploitation approuvé pour la VM. Les valeurs sont : |
swversion |
Tableau de chaînes. |
Version du système d'exploitation. La valeur est un tableau de chaînes ne contenant qu'une seule valeur. La version suit le format |
Affirmations concernant Intel TDX
Le tableau suivant décrit les revendications tdx dans le jeton d'attestation.
| Clé | Type | Description |
|---|---|---|
gcp_attester_tcb_status |
Chaîne |
Valeur de chaîne représentant l'état au niveau du TCB de la plate-forme Google Cloud évaluée. Pour en savoir plus sur Cette affirmation indique que la version du TCB TDX était à jour avec les valeurs de référence d'Intel lorsque Google a commencé le déploiement du micrologiciel. Toutefois, cela ne garantit pas que la flotte Google reste à jour avec les valeurs de référence de TCB en temps réel d'Intel. |
gcp_attester_tcb_date |
Chaîne | Date de la certification de la plate-forme d'attestation Google Cloud .
La valeur temporelle est UTC au format ISO 8601 (YYYY-MM-DDThh:mm:ssZ).
|
Revendications de sous-modérateurs
Le tableau suivant décrit les revendications submods dans le jeton d'attestation.
| Clé | Type | Description |
|---|---|---|
confidential_space.support_attributes |
Tableau de chaînes. | La valeur peut contenir USABLE, STABLE et LATEST. Pour en savoir plus, consultez la section
Cycle de vie des images Confidential Space.
|
confidential_space.monitoring_enabled |
Tableau d'objets | Indique le type de surveillance du système activé. La valeur peut être {"memory":false} ou {"memory":true}.
|
container |
Objet | Consultez la section Revendications de conteneurs de charge de travail. |
gce |
Objet | Consultez la page Revendications Compute Engine. |
Revendications de conteneurs de charge de travail
Le tableau suivant décrit les revendications container dans le jeton d'attestation.
Pour en savoir plus sur ces revendications, consultez la section Attestations.
| Clé | Type | Description |
|---|---|---|
args |
Tableau de chaînes. | argv complet avec lequel le conteneur est appelé. Cette revendication inclut le chemin d'accès au point d'entrée du conteneur et tous les arguments de ligne de commande supplémentaires. |
cmd_override |
Tableau de chaînes. | Les commandes et les paramètres CMD utilisés dans l'image de charge de travail. |
env |
Tableau d'objets | Les variables d'environnement et leurs valeurs qui ont été explicitement transmises au conteneur. |
env_override |
Tableau d'objets | Les variables d'environnement écrasées dans le conteneur. |
image_digest |
Chaîne | Condensé de l'image du conteneur de charge de travail. |
image_id |
Chaîne | ID de l'image du conteneur de charge de travail. |
image_reference |
Chaîne | Emplacement du conteneur de charge de travail exécuté dans Confidential Space. |
image_signatures |
Tableau d'objets | Consultez la section Revendications de signature d'image de conteneur. |
restart_policy |
Chaîne | Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête.
Les valeurs valides sont Always, OnFailure et Never. La valeur par défaut est Never. |
Revendications Compute Engine
Le tableau suivant décrit les revendications gce dans le jeton d'attestation.
| Clé | Type | Description |
|---|---|---|
instance_id |
Chaîne | ID de l'instance de VM. |
instance_name |
Chaîne | Nom de l'instance de VM. |
project_id |
Chaîne | ID de projet du projet dans lequel la VM s'exécute. |
project_number |
Chaîne | Numéro du projet dans lequel la VM s'exécute. |
zone |
Chaîne | Zone Compute Engine dans laquelle la VM Confidential s'exécute. |
Revendications de signature d'image de conteneur
Le tableau suivant décrit les revendications image_signatures dans le jeton d'attestation.
| Clé | Type | Description |
|---|---|---|
key_id |
Chaîne |
Empreinte hexadécimale de la clé publique. Pour obtenir l'empreinte, vous pouvez exécuter la commande suivante: openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256 Où |
signature |
Chaîne | Signature encodée en base64 pour une charge utile associée au conteneur signé et qui suit le format de signature simple. |
signature_algorithm |
Chaîne |
Algorithme utilisé pour signer la clé. Choisissez l'une des options suivantes :
|
Revendications de balise principale AWS
Le tableau suivant décrit les revendications AWS_PrincipalTag dans le jeton d'attestation. Ces revendications sont placées dans les revendications https://aws.amazon.com/tags, dans l'objet principal_tags du jeton d'attestation.
Pour en savoir plus sur la structure des revendications https://aws.amazon.com/tags, consultez la section Revendications de tags de principal AWS.
| Clé | Type | Description |
|---|---|---|
confidential_space.support_attributes |
Tableau de chaînes. |
Revendication dérivée des attributs de compatibilité Il s'agit d'une représentation sous forme de chaîne concaténée des revendications d'origine. Par exemple, si les revendications d'origine sont "Dernière", "Stable" et "Utilisable", cet attribut contiendra "LATEST=STABLE=USABLE". Si la revendication d'origine ne contient que "Utilisable", cet attribut contiendra "USABLE". |
container.image_digest |
Tableau de chaînes. | Consultez la section Revendications de conteneurs de charge de travail.
Les signatures et les condensés d'image de conteneur n'apparaissent pas ensemble dans un seul jeton. Par conséquent, si vous utilisez |
container.signatures.key_id |
Tableau de chaînes. |
Liste concaténée des ID de clé de signature des images de conteneur. Ce champ représente plusieurs ID de clé de signature joints dans une seule chaîne dans le tableau. Par exemple, si vous disposez des ID de clé Les signatures et les condensés d'image de conteneur n'apparaissent pas ensemble dans un seul jeton. Par conséquent, si vous utilisez Pour en savoir plus sur les revendications de signature d'image de conteneur, consultez la section Règles AWS avec revendications de signature d'image de conteneur. |
gce.project_id |
Tableau de chaînes. | Consultez la page Revendications Compute Engine. |
gce.zone |
Tableau de chaînes. | Consultez la page Revendications Compute Engine. |
Étape suivante
Pour en savoir plus sur les revendications d'attestation, consultez le projet IETF sur le jeton d'attestation d'entité (EAT).
Pour en savoir plus sur les revendications de jeton OpenID, consultez la documentation OpenID Connect Core 1.0.