Reivindicações de token de atestado

A tabela a seguir descreve as declarações de nível superior aceitas no token de atestado. Esses itens estão em conformidade com a especificação do OpenID Connect 1.0.

Saiba mais sobre os tokens de atestado.

Chave Tipo Descrição
Cabeçalho
x5c String Presente apenas em tokens de PKI. A cadeia de certificados para validar tokens de ICP. Faça o download do certificado raiz no endpoint de validação de token PKI.
Payload de dados JSON
attester_tcb Matriz de strings

Um ou mais componentes da base de computação confiável (TCB, na sigla em inglês). Essa declaração especifica a origem das evidências de atestado.

Para o hwmodel claim "GCP_INTEL_TDX" no Confidential Space, o valor é definido como ["INTEL"], indicando que a raiz de confiança do atestado é originada da tecnologia de hardware específica da Intel.
aud String

O público. Para o token padrão usado com um pool de identidade da carga de trabalho, o público-alvo é https://sts.googleapis.com. Esse token é buscado a cada hora pelo iniciador na instância de VM confidencial.

Para tokens com públicos-alvo personalizados, o público-alvo é repetido do público-alvo na solicitação de token. O comprimento máximo é de 512 bytes.
dbgstat String O status de depuração do hardware. Nas imagens de produção, o valor é disabled-since-boot. Em imagens de depuração, o valor é enabled.
eat_nonce String ou matriz de strings Um ou mais nonces para o token de atestado. Os valores são repetidos das opções de token enviadas na solicitação de token personalizada. Cada valor de uso único precisa estar entre 8 e 88 bytes. São permitidos no máximo seis valores de uso único.
exp Int, carimbo de data/hora do Unix O tempo de expiração a partir do qual o token não pode ser aceito para processamento. O valor é um número JSON que representa o número de segundos de 1970-01-01T0:0:0Z, medido em UTC, até o horário de expiração.
google_service_accounts Matriz de strings As contas de serviço validadas que estão executando a carga de trabalho do Confidential Space.
hwmodel String

O identificador exclusivo do token de hardware. Estes são os valores válidos:

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX
https://aws.amazon.com/tags Objeto Consulte Reivindicações de tag principal da AWS.
iat Int, carimbo de data/hora do Unix O horário em que o JWT foi emitido. O valor é um número JSON que representa o número de segundos de 1970-01-01T0:0:0Z, medido em UTC, até a hora do problema.
iss String O emissor do token, definido como https://confidentialcomputing.googleapis.com.
nbf Int, carimbo de data/hora do Unix O tempo antes do qual o JWT não pode ser usado para processamento.
oemid Uint64 O Número de Empresa Privada (PEN, na sigla em inglês) do Google, que é 11129.
secboot Booleano Indica se a inicialização segura está ativada, o que garante que o firmware e o sistema operacional foram autenticados durante o processo de inicialização da VM. Esse valor é sempre true.
sub String O assunto, que é o ID da máquina virtual totalmente qualificado para a VM confidencial. Exemplo: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Esse formato é conhecido como o selfLink da instância.
submods Matriz Uma matriz de várias reivindicações. Consulte Reivindicações de submodificações.
tdx Matriz Uma matriz de várias reivindicações. Consulte Intel TDX claims.
swname String

O nome do sistema operacional aprovado para a VM.

Os valores são CONFIDENTIAL_SPACE ou GCE. O valor CONFIDENTIAL_SPACE é apenas para imagens reforçadas que passaram por todas as validações.
swversion Matriz de strings

A versão do sistema operacional. O valor é uma matriz de string que contém apenas um valor.

A versão segue o formato YYYYMM##, em que ## é um contador do número de imagens lançadas antes da imagem usada no mesmo mês.

Declarações do Intel TDX

A tabela a seguir descreve as declarações tdx no token de atestado.

Chave Tipo Descrição
gcp_attester_tcb_status String

Um valor de string que representa o status do nível do TCB da plataforma Google Cloud que está sendo avaliada. Para mais informações sobre tcbStatus, consulte a documentação da API Provisioning Certification Service da Intel.

Essa declaração indica que a versão do TDX TCB estava atualizada com os valores de referência da Intel quando o Google começou a lançar o firmware. No entanto, não há garantia de que a frota do Google permaneça atualizada com os valores de referência do TCB em tempo real da Intel.
gcp_attester_tcb_date String A data do TCB para a plataforma de Google Cloud de certificação. O valor de hora é UTC no formato ISO 8601 (YYYY-MM-DDThh:mm:ssZ).

Reivindicações de submodificações

A tabela a seguir descreve as declarações submods no token de atestado.

Chave Tipo Descrição
confidential_space.support_attributes Matriz de strings O valor pode conter USABLE, STABLE e LATEST. Para mais informações, consulte Ciclo de vida de imagem do Confidential Space.
confidential_space.monitoring_enabled Matriz de objetos Mostra que tipo de monitoramento do sistema está ativado. O valor pode ser {"memory":false} ou {"memory":true}.
container Objeto Consulte Declarações do contêiner de carga de trabalho.
gce Objeto Consulte Reivindicações do Compute Engine.

Declarações de contêiner de carga de trabalho

A tabela a seguir descreve as declarações container no token de atestado. Para mais informações sobre essas declarações, consulte Afirmações de atestado.

Chave Tipo Descrição
args Matriz de strings O argv completo com que o contêiner é invocado. Essa declaração inclui o caminho do ponto de entrada do contêiner e outros argumentos de linha de comando.
cmd_override Matriz de strings Os comandos e parâmetros do CMD usados na imagem da carga de trabalho.
env Matriz de objetos As variáveis de ambiente e os valores delas que foram transmitidos explicitamente ao contêiner.
env_override Matriz de objetos As variáveis de ambiente substituídas no contêiner.
image_digest String O resumo da imagem do contêiner da carga de trabalho.
image_id String O ID da imagem do contêiner da carga de trabalho.
image_reference String O local do contêiner da carga de trabalho em execução no Confidential Space.
image_signatures Matriz de objetos Consulte Reivindicações de assinatura de imagem do contêiner.
restart_policy String A política de reinicialização do inicializador do contêiner quando a carga de trabalho é interrompida. Os valores válidos são Always, OnFailure e Never. O padrão é Never.

Declarações do Compute Engine

A tabela a seguir descreve as declarações gce no token de atestado.

Chave Tipo Descrição
instance_id String O ID da instância da VM.
instance_name String O nome da instância da VM.
project_id String O ID do projeto do projeto em que a VM está sendo executada.
project_number String O número do projeto em que a VM está sendo executada.
zone String A zona do Compute Engine em que a VM confidencial está em execução.

Reivindicações de assinatura de imagem de contêiner

A tabela a seguir descreve as declarações image_signatures no token de atestado.

Chave Tipo Descrição
key_id String

A impressão digital hexadecimal da chave pública. Para conferir a impressão digital, execute o seguinte comando:

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

Onde public_key.pem é sua chave pública no formato PEM.
signature String A assinatura codificada em base64 para um payload associado ao contêiner assinado e que segue o formato de assinatura simples.
signature_algorithm String

O algoritmo usado para assinar a chave. Opções:

  • RSASSA_PSS_SHA256 (RSASSA-PSS com um resumo SHA-256)
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 com um resumo SHA-256)
  • ECDSA_P256_SHA256 (ECDSA na curva P-256 com um resumo SHA-256)

Ações de tag principal da AWS

A tabela a seguir descreve as declarações AWS_PrincipalTag no token de atestado. Essas declarações são colocadas nas declarações https://aws.amazon.com/tags, no objeto principal_tags no token de atestado. Para saber mais sobre a estrutura de declarações https://aws.amazon.com/tags, consulte Declarações de tag principal da AWS.

Chave Tipo Descrição
confidential_space.support_attributes Matriz de strings

Ação judicial derivada de atributos de suporte. Essa é uma representação de string concatenada das reivindicações originais.

Por exemplo, se as declarações originais forem "Latest", "Stable" e "Usable", esse atributo vai conter "LATEST=STABLE=USABLE". Se a declaração original for apenas "Usable", esse atributo vai conter "USABLE".
container.image_digest Matriz de strings Consulte Declarações do contêiner de carga de trabalho.

As assinaturas e resumos de imagens de contêiner não vão aparecer juntos em um único token. Portanto, se você estiver usando container.image_digest nas suas políticas da AWS, remova todas as referências a container.signatures.key_ids.
container.signatures.key_id Matriz de strings

Uma lista concatenada de IDs de chaves de assinatura de imagem do contêiner. Esse campo representa vários IDs de chaves de assinatura unidos em uma única string na matriz.

Por exemplo, se você tiver os IDs de chave aKey1, zKey2 e bKey3, essa declaração vai conter o valor aKey1=bKey3=zKey2.

As assinaturas e resumos de imagens de contêiner não vão aparecer juntos em um único token. Portanto, se você estiver usando container.signatures.key_ids nas suas políticas da AWS, remova todas as referências a container.image_digest.

Para mais informações sobre as declarações de assinatura de imagem do contêiner, consulte Políticas da AWS com declarações de assinatura de imagem do contêiner.
gce.project_id Matriz de strings Consulte Reivindicações do Compute Engine.
gce.zone Matriz de strings Consulte Reivindicações do Compute Engine.

A seguir