Pernyataan pengesahan

Kolaborator data

Untuk mempelajari lebih lanjut cara menggunakan pernyataan pengesahan, lihat Membuat kebijakan pengesahan.

Pernyataan yang tersedia untuk membuat kebijakan pengesahan diuraikan dalam tabel berikut. Kebijakan dapat memvalidasi pernyataan yang dibuat oleh image Confidential Space, container workload, dan instance VM.

Pernyataan gambar

Pernyataan	Jenis	Deskripsi
`assertion.dbgstat` Berinteraksi dengan: Operator workload: Nilai `--image-family`.	Enumerasi	Memverifikasi bahwa image Confidential Space adalah versi debug atau produksi. Nilai yang valid adalah sebagai berikut: `enable`: Periksa apakah gambar debug sedang digunakan. `disabled-since-boot`: Periksa apakah gambar produksi sedang digunakan. Contoh Kode berikut memverifikasi bahwa image Confidential Space versi debug sedang digunakan: `assertion.dbgstat == "enable"` Kode berikut memverifikasi bahwa versi produksi image Confidential Space sedang digunakan: `assertion.dbgstat == "disabled-since-boot"`
`assertion.submods.confidential_space.support_attributes`	Array string	Memverifikasi versi keamanan image Confidential Space produksi yang berjalan di instance Confidential VM, menggunakan atribut dukungannya. Image Confidential Space untuk proses debug tidak memiliki set atribut dukungan. Berikut adalah atribut dukungan yang valid: `LATEST`: Ini adalah versi terbaru image, dan didukung. Gambar `LATEST` juga `STABLE` dan `USABLE`. `STABLE`: Versi image ini didukung dan dipantau untuk mengetahui kerentanan. Gambar `STABLE` juga `USABLE`. `USABLE`: Gambar yang hanya memiliki atribut ini tidak lagi didukung dan tidak lagi dipantau kerentanannya. Gunakan dengan risiko Anda sendiri. `EXPERIMENTAL`: Gambar yang hanya memiliki atribut ini menggunakan fitur pratinjau. Hanya untuk tujuan pengujian, dan tidak boleh digunakan dalam produksi. Gambar `EXPERIMENTAL` tidak pernah memiliki atribut `LATEST`, `STABLE`, atau `USABLE`. Perhatian: Karena token default Confidential Space diperbarui setiap jam, sebaiknya jangan menentukan `LATEST` untuk beban kerja yang berjalan lama. Image Confidential Space dapat diupdate saat workload Anda berjalan, yang berarti workload tidak lagi menggunakan versi terbaru dan gagal pengesahan sebagai akibatnya. Contoh Kode berikut memverifikasi bahwa image Ruang Rahasia versi stabil sedang digunakan: `"STABLE" in assertion.submods.confidential_space.support_attributes`
`assertion.swname`	Enumerasi	Memverifikasi software yang berjalan di entitas yang membuktikan. Nilainya selalu `CONFIDENTIAL_SPACE`. Contoh `assertion.swname == "CONFIDENTIAL_SPACE"`
`assertion.swversion`	Array string	Memverifikasi versi software image Confidential Space. Sebaiknya gunakan `assertion.submods.confidential_space.support_attributes` untuk menargetkan versi terbaru gambar. Contoh `int(assertion.swversion[0]) == 230103`

Pernyataan penampung

Pernyataan Jenis Deskripsi

Pernyataan	Jenis	Deskripsi
`assertion.submods.container.cmd_override` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_cmd_override`. Operator beban kerja: Variabel metadata `tee-cmd`.	Array string	Memverifikasi perintah CMD dan parameter yang digunakan dalam image workload. Contoh Kode berikut memverifikasi bahwa CMD image beban kerja belum ditimpa: `size(assertion.submods.container.cmd_override) == 0` Kode berikut memverifikasi bahwa `program` adalah satu-satunya konten dalam penggantian CMD: `assertion.submods.container.cmd_override == ['program']`
`assertion.submods.container.env` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_env_override`. Operator beban kerja: Variabel metadata `tee-env-ENVIRONMENT_VARIABLE_NAME` .	Objek JSON	Memverifikasi bahwa variabel lingkungan dan nilainya telah diteruskan secara eksplisit ke container. Contoh Kode berikut memverifikasi bahwa variabel lingkungan `example-env-1` ditetapkan ke `value-1`, dan `example-env-2` ditetapkan ke `value-2`. `assertion.submods.container.env == {"example-env-1": "value-1", "example-env-2": "value-2"}`
`assertion.submods.container.env_override` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_env_override`. Operator beban kerja: Variabel metadata `tee-env-ENVIRONMENT_VARIABLE_NAME` .	String	Memverifikasi apakah operator workload telah mengganti variabel lingkungan dalam container. Contoh Kode berikut memverifikasi bahwa operator beban kerja belum mengganti variabel lingkungan `example`: `!has(assertion.submods.container.env_override.example)` Kode berikut memverifikasi bahwa operator workload belum menimpa variabel lingkungan apa pun: `size(assertion.submods.container.env_override) == 0`
`assertion.submods.container.image_digest`	String	Memverifikasi ringkasan image container beban kerja. Contoh `assertion.submods.container.image_digest == "sha256:837ccb607e312b170fac7383d7ccfd61fa5072793f19a25e75fbacb56539b86b"`
`assertion.submods.container.image_id`	String	Memverifikasi ID image container workload. Contoh `assertion.submods.container.image_id == "sha256:652a44b0e911271ba07cf2915cd700fdfa50abd62a98f87a57fdebc59843d93f"`
`assertion.submods.container.image_reference` Berinteraksi dengan: Operator beban kerja: Variabel `tee-image-reference` metadata.	String	Memverifikasi lokasi container workload yang berjalan di atas image Confidential Space. Contoh `assertion.submods.container.image_reference == "us-docker.pkg.dev/PROJECT_ID/WORKLOAD_CONTAINER:latest"`
`assertion.submods.container.image_signatures` Berinteraksi dengan: Operator beban kerja: Variabel `tee-signed-image-repos` metadata.	Objek JSON	Memverifikasi bahwa gambar memiliki tanda tangan tertentu atau ditandatangani oleh algoritma penandatanganan dan kunci publik. Dengan menentukan kondisi ini, beberapa pihak dapat menyetujui workload yang diizinkan dan dapat mengakses data mereka. Pernyataan dapat mencakup elemen berikut: `key_id`: Sidik jari heksadesimal dari kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut: `openssl pkey -pubin -in public_key.pem -outform DER \| openssl sha256` Dengan `public_key.pem` adalah kunci publik Anda dalam format PEM. `signature`: Tanda tangan pada payload yang terkait dengan penampung bertanda tangan dan yang mengikuti format Penandatanganan Sederhana. `signature_algorithm`: Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini: `RSASSA_PSS_SHA256` (RSASSA-PSS dengan ringkasan SHA-256 ) `RSASSA_PKCS1V15_SHA256` (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256) `ECDSA_P256_SHA256` (ECDSA pada Kurva P-256 dengan ringkasan SHA-256) Contoh `assertion.swname == 'CONFIDENTIAL_SPACE' && ['ECDSA_P256_SHA256:PUBLIC_KEY_FINGERPRINT'].exists(fingerprint, fingerprint in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)) && 'serviceaccount.iam.gserviceaccount.com' in assertion.google_service_accounts"`
`assertion.submods.container.restart_policy` Berinteraksi dengan: Operator beban kerja: Variabel `tee-restart-policy` metadata.	Enumerasi	Memverifikasi kebijakan mulai ulang peluncur container saat beban kerja berhenti. Nilai yang valid adalah sebagai berikut: `Never` (default) `Always` `OnFailure` Contoh `assertion.submods.container.restart_policy == "Never"`

assertion.submods.container.cmd_override

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_cmd_override.
Operator beban kerja: Variabel metadata tee-cmd.

Array string

Memverifikasi perintah CMD dan parameter yang digunakan dalam image workload.

Contoh

Kode berikut memverifikasi bahwa CMD image beban kerja belum ditimpa:

size(assertion.submods.container.cmd_override) == 0

Kode berikut memverifikasi bahwa program adalah satu-satunya konten dalam penggantian CMD:

assertion.submods.container.cmd_override == ['program']

assertion.submods.container.env

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_env_override.
Operator beban kerja: Variabel metadata tee-env-ENVIRONMENT_VARIABLE_NAME .

Objek JSON

Memverifikasi bahwa variabel lingkungan dan nilainya telah diteruskan secara eksplisit ke container.

Contoh

Kode berikut memverifikasi bahwa variabel lingkungan example-env-1 ditetapkan ke value-1, dan example-env-2 ditetapkan ke value-2.

assertion.submods.container.env == {"example-env-1": "value-1", "example-env-2": "value-2"}

assertion.submods.container.env_override

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_env_override.
Operator beban kerja: Variabel metadata tee-env-ENVIRONMENT_VARIABLE_NAME .

String

Memverifikasi apakah operator workload telah mengganti variabel lingkungan dalam container.

Contoh

Kode berikut memverifikasi bahwa operator beban kerja belum mengganti variabel lingkungan example:

!has(assertion.submods.container.env_override.example)

Kode berikut memverifikasi bahwa operator workload belum menimpa variabel lingkungan apa pun:

size(assertion.submods.container.env_override) == 0

assertion.submods.container.image_digest

String

Memverifikasi ringkasan image container beban kerja.

Contoh

assertion.submods.container.image_digest == "sha256:837ccb607e312b170fac7383d7ccfd61fa5072793f19a25e75fbacb56539b86b"

assertion.submods.container.image_id

String

Memverifikasi ID image container workload.

Contoh

assertion.submods.container.image_id == "sha256:652a44b0e911271ba07cf2915cd700fdfa50abd62a98f87a57fdebc59843d93f"

assertion.submods.container.image_reference

Berinteraksi dengan:

Operator beban kerja: Variabel tee-image-reference metadata.

String

Memverifikasi lokasi container workload yang berjalan di atas image Confidential Space.

Contoh

assertion.submods.container.image_reference == "us-docker.pkg.dev/PROJECT_ID/WORKLOAD_CONTAINER:latest"

assertion.submods.container.image_signatures

Berinteraksi dengan:

Operator beban kerja: Variabel tee-signed-image-repos metadata.

Objek JSON

Memverifikasi bahwa gambar memiliki tanda tangan tertentu atau ditandatangani oleh algoritma penandatanganan dan kunci publik. Dengan menentukan kondisi ini, beberapa pihak dapat menyetujui workload yang diizinkan dan dapat mengakses data mereka.

Pernyataan dapat mencakup elemen berikut:

key_id: Sidik jari heksadesimal dari kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut:
```
openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256
```
Dengan public_key.pem adalah kunci publik Anda dalam format PEM.
signature: Tanda tangan pada payload yang terkait dengan penampung bertanda tangan dan yang mengikuti format Penandatanganan Sederhana.
signature_algorithm: Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini:
- RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan SHA-256 )
- RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256)
- ECDSA_P256_SHA256 (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

Contoh

assertion.swname == 'CONFIDENTIAL_SPACE' && ['ECDSA_P256_SHA256:PUBLIC_KEY_FINGERPRINT'].exists(fingerprint, fingerprint in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)) && 'serviceaccount.iam.gserviceaccount.com' in assertion.google_service_accounts"

assertion.submods.container.restart_policy

Berinteraksi dengan:

Operator beban kerja: Variabel tee-restart-policy metadata.

Enumerasi

Memverifikasi kebijakan mulai ulang peluncur container saat beban kerja berhenti.

Nilai yang valid adalah sebagai berikut:

Never (default)
Always
OnFailure

Contoh

assertion.submods.container.restart_policy == "Never"

Pernyataan VM

Pernyataan	Jenis	Deskripsi
`assertion.google_service_accounts` Berinteraksi dengan: Operator workload: Variabel `tee-impersonate-service-accounts` metadata, dan nilai `--service-account` .	Array string	Memverifikasi bahwa akun layanan tertentu terhubung ke VM yang menjalankan workload, atau telah dicantumkan menggunakan `tee-impersonate-service-accounts` dalam metadata VM. Contoh `workload-service-account@my-project.iam.gserviceaccount.com in assertion.google_service_accounts`
`assertion.hwmodel`	String	Memverifikasi teknologi Confidential Computing yang mendasarinya. Platform yang didukung adalah sebagai berikut: `GCP_AMD_SEV` `INTEL_TDX` Contoh `assertion.hwmodel == "GCP_AMD_SEV"`
`assertion.submods.confidential_space.monitoring_enabled` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `monitoring_memory_allow`. Operator beban kerja: Variabel metadata `tee-monitoring-memory-enable`.	Boolean	Memverifikasi status pemantauan pada entitas yang membuktikan. Contoh `assertion.submods.confidential_space.monitoring_enabled.memory == true`
`assertion.submods.gce.instance_id`	String	Memverifikasi ID instance VM. Contoh `assertion.submods.gce.instance_id == "0000000000000000000"`
`assertion.submods.gce.instance_name`	String	Memverifikasi nama instance VM. Contoh `assertion.submods.gce.instance_name == "workload-vm"`
`assertion.submods.gce.project_id`	String	Memverifikasi bahwa VM menjalankan project Google Cloud dengan project ID yang ditentukan. Contoh `assertion.submods.gce.project_id == "project-id"`
`assertion.submods.gce.project_number`	String	Memverifikasi bahwa VM berjalan di project Google Cloud dengan nomor project yang ditentukan. Contoh `assertion.submods.gce.project_number == "00000000000"`
`assertion.submods.gce.zone` Berinteraksi dengan: Operator workload: Nilai `--zone`.	String	Memverifikasi bahwa VM berjalan di zona yang ditentukan. Contoh `assertion.submods.gce.zone == "us-central1-a"`
`assertion.submods.nvidia_gpu.cc_mode` Berinteraksi dengan: Operator beban kerja: Variabel `tee-install-gpu-driver` metadata.	Enumerasi	Memverifikasi status driver Confidential Computing NVIDIA. Nilai yang valid adalah sebagai berikut: `OFF`: tidak ada fitur NVIDIA Confidential Computing yang aktif. `ON`: hardware, firmware, dan software NVIDIA H100 telah mengaktifkan fitur confidential computing sepenuhnya. `DEVTOOLS`: GPU berada dalam mode komputasi rahasia parsial yang cocok dengan alur kerja mode `ON`, tetapi menonaktifkan perlindungan keamanan. Contoh `assertion.submods.nvidia_gpu.cc_mode == "ON"`

Pernyataan pengesahan Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Pernyataan gambar

Contoh

Contoh

Contoh

Contoh

Pernyataan penampung

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Pernyataan VM

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Pernyataan pengesahan