Klaim token pengesahan

Tabel berikut menjelaskan klaim tingkat teratas yang didukung dalam token pengesahan. Item ini mematuhi spesifikasi OpenID Connect 1.0.

Baca selengkapnya tentang token pengesahan

Kunci Jenis Deskripsi
Header
x5c String Hanya ada di token PKI. Rantai sertifikat untuk memvalidasi token IKP terhadap. Anda dapat mendownload sertifikat root dari endpoint validasi token PKI.
Payload data JSON
attester_tcb Array string

Satu atau beberapa komponen TCB (trusted computing base). Klaim ini adalah untuk menentukan sumber bukti pengesahan.

Untuk hwmodel claim "GCP_INTEL_TDX" di Confidential Space, nilainya ditetapkan ke ["INTEL"], yang menunjukkan bahwa root of trust pengesahan berasal dari teknologi hardware khusus Intel.
aud String

Audiens. Untuk token default yang digunakan dengan workload identity pool, audiensnya adalah https://sts.googleapis.com. Token ini diambil setiap jam oleh peluncur di instance Confidential VM.

Untuk token dengan audiens kustom, audiens dikembalikan dari audiens dalam permintaan token. Panjang maksimum adalah 512 byte.
dbgstat String Status debug untuk hardware. Dalam gambar produksi, nilainya adalah disabled-since-boot. Dalam gambar debug, nilainya adalah enabled.
eat_nonce String atau array string Satu atau beberapa nonce untuk token pengesahan. Nilai dikembalikan dari opsi token yang dikirim dalam permintaan token kustom. Setiap nonce harus berisi 8 hingga 88 byte inklusif. Maksimum enam nonce yang diizinkan.
exp Int, stempel waktu Unix Waktu habis masa berlaku saat atau setelah token tidak boleh diterima untuk diproses. Nilainya adalah angka JSON yang merepresentasikan jumlah detik dari 1970-01-01T0:0:0Z yang diukur dalam UTC hingga waktu habis masa berlaku.
google_service_accounts Array string Akun layanan yang divalidasi yang menjalankan workload Confidential Space.
hwmodel String

ID unik untuk token hardware. Berikut adalah nilai yang valid:

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX
https://aws.amazon.com/tags Objek Lihat klaim tag principal AWS.
iat Int, stempel waktu Unix Waktu saat JWT diterbitkan. Nilainya adalah angka JSON yang mewakili jumlah detik dari 1970-01-01T0:0:0Z yang diukur dalam UTC hingga waktu masalah.
iss String Penerbit token, yang ditetapkan ke https://confidentialcomputing.googleapis.com.
nbf Int, stempel waktu Unix Waktu sebelum JWT tidak dapat digunakan untuk pemrosesan.
oemid Uint64 Google Private Enterprise Number (PEN), yaitu 11129.
secboot Boolean Apakah Booting Aman diaktifkan, yang memastikan bahwa firmware dan sistem operasi diautentikasi selama proses booting VM. Nilai ini selalu true.
sub String Subjek, yang merupakan ID virtual machine yang sepenuhnya memenuhi syarat untuk Confidential VM. Contoh: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Format ini dikenal sebagai selfLink instance.
submods Array Array berbagai klaim. Lihat Klaim submod.
tdx Array Array berbagai klaim. Lihat Klaim Intel TDX.
swname String

Nama sistem operasi yang disetujui untuk VM.

Nilai berupa CONFIDENTIAL_SPACE atau GCE. Nilai CONFIDENTIAL_SPACE adalah untuk image Confidential Space yang telah melalui proses hardening dan debug yang lulus semua validasi.
swversion Array string

Versi sistem operasi. Nilainya adalah array string yang hanya berisi satu nilai.

Versi ini mengikuti format YYYYMM##, dengan ## adalah penghitung jumlah gambar yang dirilis sebelum gambar yang digunakan pada bulan yang sama.

Klaim Intel TDX

Tabel berikut menjelaskan klaim tdx dalam token pengesahan.

Kunci Jenis Deskripsi
gcp_attester_tcb_status String

Nilai string yang merepresentasikan status tingkat TCB dari platform Google Cloud yang sedang dievaluasi. Untuk mengetahui informasi selengkapnya tentang tcbStatus, lihat dokumentasi Provisioning Certification Service API Intel.

Klaim ini menunjukkan bahwa versi TCB TDX sudah diupdate dengan nilai referensi Intel saat Google memulai peluncuran firmware-nya. Namun, hal ini tidak menjamin bahwa armada Google akan selalu diupdate dengan nilai referensi TCB real-time Intel.
gcp_attester_tcb_date String Tanggal TCB untuk platform Google Cloud yang menyatakan. Nilai waktu adalah UTC dalam format ISO 8601 (YYYY-MM-DDThh:mm:ssZ).

Klaim submod

Tabel berikut menjelaskan klaim submods dalam token pengesahan.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string Nilai dapat berisi USABLE, STABLE, dan LATEST. Untuk mengetahui informasi selengkapnya, lihat Siklus proses image Confidential Space.
confidential_space.monitoring_enabled Objek Menampilkan jenis pemantauan sistem yang diaktifkan. Nilainya dapat berupa {"memory":false} atau {"memory":true}.
container Objek Lihat Klaim container workload.
gce Objek Lihat klaim Compute Engine.

Klaim container workload

Tabel berikut menjelaskan klaim container dalam token pengesahan. Untuk mengetahui informasi selengkapnya tentang klaim ini, lihat Pernyataan pengesahan.

Kunci Jenis Deskripsi
args Array string argv lengkap yang digunakan untuk memanggil penampung. Klaim ini mencakup jalur titik entri penampung dan argumen command line tambahan.
cmd_override Array string Perintah CMD dan parameter yang digunakan dalam image workload.
env Objek Variabel lingkungan dan nilainya yang telah secara eksplisit diteruskan ke container.
env_override Objek Variabel lingkungan yang ditimpa dalam container.
image_digest String Ringkasan image container workload.
image_id String ID image container workload.
image_reference String Lokasi container workload yang berjalan di Confidential Space.
image_signatures Array objek Lihat Klaim tanda tangan image container.
restart_policy String Kebijakan mulai ulang peluncur container saat workload berhenti. Nilai yang valid adalah Always, OnFailure, dan Never. Default-nya adalah Never.

Klaim Compute Engine

Tabel berikut menjelaskan klaim gce dalam token pengesahan.

Kunci Jenis Deskripsi
instance_id String ID instance VM.
instance_name String Nama instance VM.
project_id String project ID untuk project tempat VM berjalan.
project_number String Nomor project untuk project tempat VM berjalan.
zone String Zona Compute Engine tempat Confidential VM berjalan.

Klaim tanda tangan image container

Tabel berikut menjelaskan klaim image_signatures dalam token pengesahan.

Kunci Jenis Deskripsi
key_id String

Sidik jari heksadesimal kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

Dengan public_key.pem adalah kunci publik Anda dalam format PEM.
signature String Tanda tangan berenkode base64 untuk payload yang terkait dengan penampung bertanda tangan dan yang mengikuti format Penandatanganan Sederhana.
signature_algorithm String

Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini:

  • RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan SHA-256 )
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256)
  • ECDSA_P256_SHA256 (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

Klaim tag principal AWS

Tabel berikut menjelaskan klaim AWS_PrincipalTag dalam token pengesahan. Klaim ini ditempatkan di klaim https://aws.amazon.com/tags, dalam objek principal_tags di token pengesahan. Untuk mempelajari struktur klaim https://aws.amazon.com/tags, lihat Klaim tag prinsipal AWS.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string

Atribut dukungan klaim turunan. Ini adalah representasi string gabungan dari klaim asli.

Misalnya, jika klaim aslinya adalah "Terbaru", "Stabil", dan "Dapat Digunakan", atribut ini akan berisi "TERBARU=STABIL=DAPAT DIGUNAKAN". Jika klaim asli hanya "Dapat Digunakan", atribut ini akan berisi "DAPAT DIGUNAKAN".
container.image_digest Array string Lihat Klaim container workload.

Tanda tangan dan ringkasan image container tidak akan muncul bersama dalam satu token. Oleh karena itu, jika Anda menggunakan container.image_digest dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.signatures.key_ids.
container.signatures.key_id Array string

Daftar ID kunci tanda tangan image container yang digabungkan. Kolom ini menampilkan beberapa ID kunci tanda tangan yang digabungkan menjadi satu string dalam array.

Misalnya, jika Anda memiliki ID kunci aKey1, zKey2, dan bKey3, klaim ini berisi nilai aKey1=bKey3=zKey2.

Tanda tangan dan ringkasan image container tidak akan muncul bersama dalam satu token. Oleh karena itu, jika Anda menggunakan container.signatures.key_ids dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.image_digest.

Untuk mengetahui informasi selengkapnya tentang klaim tanda tangan image container, lihat Kebijakan AWS dengan klaim tanda tangan image container.
gce.project_id Array string Lihat klaim Compute Engine.
gce.zone Array string Lihat klaim Compute Engine.

Langkah berikutnya