VPC Service Controls

Zur Validierung des Attestierungstokens muss Confidential Space Zertifikate aus Cloud Storage-Buckets herunterladen. Wenn sich diese Bucket außerhalb Ihres Perimeters befinden, müssen Sie die folgende Regel für ausgehenden Traffic konfigurieren:

- egressTo:
    operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
          - method: google.storage.objects.get
    resources:
      - projects/870449385679
      - projects/180376494128
  egressFrom:
    identityType: ANY_IDENTITY

In der folgenden Tabelle sind die Projekte mit den erforderlichen Zertifikaten aufgeführt:

Projekt-ID Projektnummer Beschreibung
cloud-shielded-ca-prod 870449385679 Projekt mit Attestierungszertifikaten
cloud-shielded-ca-prod-root 180376494128 Projekt mit Stammzertifikaten

Wenn die Compute Engine API durch Ihren Dienstperimeter eingeschränkt ist, müssen Sie die folgende Ausgehende Regel erstellen:

- egressTo:
    operations:
      - serviceName: compute.googleapis.com
        methodSelectors:
          - method: InstancesService.Insert
    resources:
      - projects/30229352718
  egressFrom:
    identityType: ANY_IDENTITY

In der folgenden Tabelle ist das Projekt aufgeführt, das zum Abrufen von VM-Images für vertrauliche Gruppen erforderlich ist:

Projekt-ID Projektnummer Beschreibung
confidential-space-images 30229352718 Projekt mit VM-Images für Confidential Space