Para validar su token de certificación, Espacio Confidencial debe descargar certificados de segmentos de Cloud Storage. Si estos contenedores se encuentran fuera de tu perímetro, debes configurar la siguiente regla de salida:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
En la siguiente tabla se enumeran los proyectos que contienen los certificados necesarios:
| ID del proyecto | Número de proyecto | Descripción |
|---|---|---|
| cloud-shielded-ca-prod | 870449385679 | Proyecto que contiene certificados de atestación |
| cloud-shielded-ca-prod-root | 180376494128 | Proyecto que contiene certificados raíz |
Si la API de Compute Engine está restringida por tu perímetro de servicio, debes crear la siguiente regla de salida:
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/30229352718
egressFrom:
identityType: ANY_IDENTITY
En la siguiente tabla se indica el proyecto necesario para obtener imágenes de máquinas virtuales de Confidential Space:
| ID del proyecto | Número de proyecto | Descripción |
|---|---|---|
| confidential-space-images | 30229352718 | Proyecto que contiene imágenes de máquinas virtuales de Confidential Space |