VPC Service Controls

为了验证其证明令牌,Confidential Space 需要从 Cloud Storage 存储分区下载证书。如果这些存储分区位于边界之外,您必须配置以下出站流量规则:

- egressTo:
    operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
          - method: google.storage.objects.get
    resources:
      - projects/870449385679
      - projects/180376494128
  egressFrom:
    identityType: ANY_IDENTITY

下表列出了包含必要证书的项目:

项目 ID 项目编号 说明
cloud-shielded-ca-prod 870449385679 包含证明证书的项目
cloud-shielded-ca-prod-root 180376494128 包含根证书的项目

如果 Compute Engine API 受服务边界限制,您必须创建以下出站流量规则:

- egressTo:
    operations:
      - serviceName: compute.googleapis.com
        methodSelectors:
          - method: InstancesService.Insert
    resources:
      - projects/30229352718
  egressFrom:
    identityType: ANY_IDENTITY

下表列出了获取 Confidential Space 虚拟机映像所需的项目:

项目 ID 项目编号 说明
confidential-space-images 30229352718 包含 Confidential Space 虚拟机映像的项目