Klaim token pengesahan

Tabel berikut menjelaskan klaim tingkat teratas yang didukung dalam token pengesahan. Item ini mematuhi spesifikasi OpenID Connect 1.0.

Baca selengkapnya tentang token pengesahan

Kunci Jenis Deskripsi
Header
x5c String Hanya ada di token PKI. Rantai sertifikat yang akan digunakan untuk memvalidasi token PKI. Anda dapat mendownload root certificate dari endpoint validasi token PKI.
Payload data JSON
attester_tcb Array string

Satu atau beberapa komponen TCB (trusted computing base). Klaim ini untuk menentukan sumber bukti pengesahan.

Untuk hwmodel claim "GCP_INTEL_TDX" di Confidential Space, nilai ditetapkan ke ["INTEL"], yang menunjukkan bahwa root of trust pengesahan berasal dari teknologi hardware khusus Intel.
aud String

Audiens. Untuk token default yang digunakan dengan workload identity pool, audiensnya adalah https://sts.googleapis.com. Token ini diambil setiap jam oleh peluncur di instance VM Rahasia.

Untuk token dengan audiens kustom, audiens akan ditampilkan dari audiens dalam permintaan token. Panjang maksimumnya adalah 512 byte.
dbgstat String Status debug untuk hardware. Dalam image produksi, nilainya adalah disabled-since-boot. Dalam gambar debug, nilainya adalah enabled.
eat_nonce String atau array string Satu atau beberapa nonce untuk token pengesahan. Nilai tersebut ditampilkan dari opsi token yang dikirim dalam permintaan token kustom. Setiap nonce harus antara 8 dan 88 byte inklusif. Maksimum enam nonce diizinkan.
exp Int, stempel waktu Unix Waktu habis masa berlaku token pada atau setelah token tidak boleh diterima untuk diproses. Nilainya adalah angka JSON yang mewakili jumlah detik dari 1970-01-01T0:0:0Z seperti yang diukur dalam UTC hingga waktu habis masa berlaku.
google_service_accounts Array string Akun layanan tervalidasi yang menjalankan workload Confidential Space.
hwmodel String

ID unik untuk token hardware. Berikut adalah nilai yang valid:

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX
https://aws.amazon.com/tags Objek Lihat Klaim tag akun utama AWS.
iat Int, stempel waktu Unix Waktu saat JWT diterbitkan. Nilainya adalah angka JSON yang mewakili jumlah detik dari 1970-01-01T0:0:0Z seperti yang diukur dalam UTC hingga waktu masalah.
iss String Penerbit token, yang ditetapkan ke https://confidentialcomputing.googleapis.com.
nbf Int, stempel waktu Unix Waktu sebelum JWT tidak dapat digunakan untuk pemrosesan.
oemid Uint64 Private Enterprise Number (PEN) Google, yaitu 11129.
secboot Boolean Apakah Booting Aman diaktifkan, yang memastikan bahwa firmware dan sistem operasi diautentikasi selama proses booting VM. Nilai ini selalu true.
sub String Subjek, yang merupakan ID virtual machine yang sepenuhnya memenuhi syarat untuk VM Rahasia. Contoh: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Format ini dikenal sebagai selfLink instance.
submods Array Array berbagai klaim. Lihat Klaim submod.
tdx Array Array berbagai klaim. Lihat Klaim Intel TDX.
swname String

Nama sistem operasi yang disetujui untuk VM.

Nilainya adalah CONFIDENTIAL_SPACE atau GCE. Nilai CONFIDENTIAL_SPACE hanya untuk image yang di-harden yang lulus semua validasi.
swversion Array string

Versi sistem operasi. Nilainya adalah array string yang hanya berisi satu nilai.

Versi ini mengikuti format YYYYMM##, dengan ## adalah penghitung untuk jumlah gambar yang dirilis sebelum gambar digunakan pada bulan yang sama.

Klaim Intel TDX

Tabel berikut menjelaskan klaim tdx dalam token pengesahan.

Kunci Jenis Deskripsi
gcp_attester_tcb_status String

Nilai string yang mewakili status tingkat TCB platform Google Cloud yang sedang dievaluasi. Untuk informasi selengkapnya tentang tcbStatus, lihat dokumentasi Provisioning Certification Service API Intel.

Klaim ini menunjukkan bahwa versi TCB TDX sudah yang terbaru dengan nilai referensi Intel saat Google memulai peluncuran firmware. Namun, hal ini tidak menjamin bahwa armada Google tetap diperbarui dengan nilai referensi TCB real-time Intel.
gcp_attester_tcb_date String Tanggal TCB untuk platform Google Cloud yang melakukan pengesahan. Nilai waktu adalah UTC dalam format ISO 8601 (YYYY-MM-DDThh:mm:ssZ).

Klaim sub-mod

Tabel berikut menjelaskan klaim submods dalam token pengesahan.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string Nilainya dapat berisi USABLE, STABLE, dan LATEST. Untuk mengetahui informasi selengkapnya, lihat Siklus proses image Confidential Space.
confidential_space.monitoring_enabled Array objek Menampilkan jenis pemantauan sistem yang diaktifkan. Nilainya dapat berupa {"memory":false} atau {"memory":true}.
container Objek Lihat Klaim penampung beban kerja.
gce Objek Lihat Klaim Compute Engine.

Klaim penampung workload

Tabel berikut menjelaskan klaim container dalam token pengesahan. Untuk mengetahui informasi selengkapnya tentang klaim ini, lihat Pernyataan pengesahan.

Kunci Jenis Deskripsi
args Array string argv lengkap yang digunakan untuk memanggil penampung. Klaim ini mencakup jalur titik entri penampung dan argumen command line tambahan.
cmd_override Array string Perintah CMD dan parameter yang digunakan dalam image workload.
env Array objek Variabel lingkungan dan nilainya yang telah diteruskan secara eksplisit ke penampung.
env_override Array objek Variabel lingkungan yang ditimpa di penampung.
image_digest String Ringkasan image container workload.
image_id String ID image penampung beban kerja.
image_reference String Lokasi penampung workload yang berjalan di Confidential Space.
image_signatures Array objek Lihat Klaim tanda tangan image container.
restart_policy String Kebijakan mulai ulang peluncur penampung saat beban kerja berhenti. Nilai yang valid adalah Always, OnFailure, dan Never. Default-nya adalah Never.

Klaim Compute Engine

Tabel berikut menjelaskan klaim gce dalam token pengesahan.

Kunci Jenis Deskripsi
instance_id String ID instance VM.
instance_name String Nama instance VM.
project_id String Project ID untuk project tempat VM berjalan.
project_number String Nomor project untuk project tempat VM berjalan.
zone String Zona Compute Engine tempat VM Rahasia berjalan.

Klaim tanda tangan image container

Tabel berikut menjelaskan klaim image_signatures dalam token pengesahan.

Kunci Jenis Deskripsi
key_id String

Sidik jari heksadesimal kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

Dengan public_key.pem adalah kunci publik Anda dalam format PEM.
signature String Tanda tangan yang dienkode base64 untuk payload yang terkait dengan penampung yang ditandatangani dan mengikuti format Penandatanganan Sederhana.
signature_algorithm String

Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini:

  • RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256)
  • ECDSA_P256_SHA256 (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

Klaim tag akun utama AWS

Tabel berikut menjelaskan klaim AWS_PrincipalTag dalam token pengesahan. Klaim ini ditempatkan dalam klaim https://aws.amazon.com/tags, dalam objek principal_tags dalam token pengesahan. Untuk mempelajari struktur klaim https://aws.amazon.com/tags, lihat Klaim tag akun utama AWS.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string

Klaim turunan dari atribut dukungan. Ini adalah representasi string yang digabungkan dari klaim asli.

Misalnya, jika klaim asli adalah "Terbaru", "Stabil", dan "Dapat Digunakan", atribut ini akan berisi "LATEST=STABLE=USABLE". Jika klaim asli hanya "Dapat digunakan", atribut ini akan berisi "USABLE".
container.image_digest Array string Lihat Klaim penampung beban kerja.

Tanda tangan dan ringkasan image container tidak akan muncul bersama dalam satu token. Oleh karena itu, jika menggunakan container.image_digest dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.signatures.key_ids.
container.signatures.key_id Array string

Daftar ID kunci tanda tangan image container yang digabungkan. Kolom ini mewakili beberapa ID kunci tanda tangan yang digabungkan menjadi satu string dalam array.

Misalnya, jika Anda memiliki ID kunci aKey1, zKey2, dan bKey3, klaim ini berisi nilai aKey1=bKey3=zKey2.

Tanda tangan dan ringkasan image container tidak akan muncul bersama dalam satu token. Oleh karena itu, jika menggunakan container.signatures.key_ids dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.image_digest.

Untuk mengetahui informasi selengkapnya tentang klaim tanda tangan image container, lihat Kebijakan AWS dengan klaim tanda tangan image container.
gce.project_id Array string Lihat Klaim Compute Engine.
gce.zone Array string Lihat Klaim Compute Engine.

Langkah berikutnya