Klaim token pengesahan

Klaim tingkat teratas

Tabel berikut menjelaskan klaim tingkat teratas dalam token pengesahan. Item ini mematuhi spesifikasi OpenID Connect 1.0.

Baca selengkapnya tentang token pengesahan

Kunci Jenis Deskripsi
Header
x5c String Hanya ada di token PKI. Rantai sertifikat untuk memvalidasi token PKI. Anda dapat mendownload sertifikat root dari endpoint validasi token PKI.
Payload data JSON
attester_tcb Array string

Satu atau beberapa komponen TCB (trusted computing base). Klaim ini adalah untuk menentukan sumber bukti pengesahan.

Untuk hwmodel claim "GCP_INTEL_TDX" di Confidential Space, nilainya ditetapkan ke ["INTEL"], yang menunjukkan bahwa root of trust pengesahan berasal dari teknologi hardware khusus Intel.

aud String

Audiens. Untuk token default yang digunakan dengan workload identity pool, audiensnya adalah https://sts.googleapis.com. Token ini diambil setiap jam oleh peluncur di instance Confidential VM.

Untuk token dengan audiens kustom, audiens dikembalikan dari audiens dalam permintaan token. Panjang maksimum adalah 512 byte.

dbgstat String Status debug untuk image Confidential Space. Dalam gambar produksi, nilainya adalah disabled-since-boot. Dalam gambar debug, nilai adalah enabled.
eat_nonce String, atau array string Satu atau beberapa nonce untuk token pengesahan. Nilai dikembalikan dari opsi token yang dikirim dalam permintaan token kustom. Setiap nonce harus berisi 8 hingga 88 byte inklusif. Maksimum enam nonce yang diizinkan.
exp Int, stempel waktu Unix Waktu habis masa berlaku saat atau setelah token tidak boleh diterima untuk pemrosesan. Nilainya adalah angka JSON yang merepresentasikan jumlah detik dari 1970-01-01T0:0:0Z yang diukur dalam UTC hingga waktu habis masa berlaku.
google_service_accounts Array string Akun layanan yang divalidasi yang menjalankan workload Confidential Space.
hwmodel Enumerasi

ID unik untuk token hardware. Harus berupa salah satu nilai berikut:

  • GCP_AMD_SEV
  • GCP_AMD_SEV_ES
  • GCP_SHIELDED_VM
  • GCP_INTEL_TDX
https://aws.amazon.com/tags Objek Lihat klaim tag principal AWS.
iat Int, stempel waktu Unix Waktu saat JWT diterbitkan. Nilainya adalah angka JSON yang mewakili jumlah detik dari 1970-01-01T0:0:0Z yang diukur dalam UTC hingga waktu masalah.
iss String Penerbit token, yang ditetapkan ke https://confidentialcomputing.googleapis.com.
nbf Int, stempel waktu Unix Waktu setelah JWT diizinkan untuk diproses. Nilainya adalah angka JSON yang merepresentasikan jumlah detik dari 1970-01-01T0:0:0Z sebagaimana diukur dalam UTC.
oemid Uint64 Google Private Enterprise Number (PEN), yaitu 11129.
secboot Boolean Apakah Booting Aman diaktifkan, yang memastikan bahwa firmware dan sistem operasi diautentikasi selama proses booting VM. Nilai ini selalu true.
sub String Subjek, yang merupakan ID virtual machine yang sepenuhnya memenuhi syarat untuk Confidential VM. Contoh: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID Format ini dikenal sebagai selfLink instance.
submods Objek Objek yang berisi berbagai klaim. Lihat Klaim submod.
tdx Array objek Array berbagai klaim. Lihat Klaim Intel TDX.
swname String

Nama sistem operasi yang disetujui untuk VM.

Nilai yang valid adalah CONFIDENTIAL_SPACE atau GCE. Nilai CONFIDENTIAL_SPACE adalah untuk image Confidential Space yang telah melalui proses hardening dan debug yang lulus semua validasi.

swversion Array string

Versi sistem operasi. Nilainya adalah array string yang hanya berisi satu nilai.

Versi ini mengikuti format YYYYMM##, dengan ## adalah penghitung jumlah gambar yang dirilis sebelum gambar yang digunakan pada bulan yang sama.

Klaim tag principal AWS

Tabel berikut menjelaskan klaim AWS_PrincipalTag dalam token pengesahan. Klaim ini ditempatkan di klaim https://aws.amazon.com/tags, dalam objek principal_tags di token pengesahan. Untuk mempelajari struktur klaim https://aws.amazon.com/tags, lihat Klaim tag principal AWS.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string

Atribut dukungan klaim turunan. Ini adalah representasi string gabungan dari klaim asli.

Misalnya, jika klaim asli adalah Latest, Stable, dan Usable, atribut ini berisi LATEST=STABLE=USABLE. Jika klaim asli hanya Usable, atribut ini berisi USABLE.

container.image_digest Array string

Lihat Klaim penampung beban kerja.

Tanda tangan dan ringkasan image container tidak muncul bersama dalam satu token. Jika Anda menggunakan container.image_digest dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.signatures.key_ids.

container.signatures.key_id Array string

Daftar ID kunci tanda tangan image container yang digabungkan. Kolom ini menampilkan beberapa ID kunci tanda tangan yang digabungkan menjadi satu string dalam array.

Misalnya, jika Anda memiliki ID kunci aKey1, zKey2, dan bKey3, klaim ini berisi nilai aKey1=bKey3=zKey2.

Tanda tangan dan ringkasan image container tidak muncul bersama dalam satu token. Jika Anda menggunakan container.signatures.key_ids dalam kebijakan AWS, Anda harus menghapus semua referensi ke container.image_digest.

Untuk mengetahui informasi selengkapnya tentang klaim tanda tangan image container, lihat Kebijakan AWS dengan klaim tanda tangan image container.

gce.project_id Array string Lihat klaim Compute Engine.
gce.zone Array string Lihat klaim Compute Engine.

Klaim Intel TDX

Tabel berikut menjelaskan klaim tdx dalam token pengesahan.

Kunci Jenis Deskripsi
gcp_attester_tcb_status String

Nilai string yang merepresentasikan status tingkat TCB dari platform Google Cloud yang sedang dievaluasi. Untuk mengetahui informasi selengkapnya tentang tcbStatus, lihat dokumentasi Provisioning Certification Service API Intel.

Klaim ini menunjukkan bahwa versi TCB TDX sudah diupdate dengan nilai referensi Intel saat Google memulai peluncuran firmware-nya. Namun, hal ini tidak menjamin bahwa armada Google akan selalu diupdate dengan nilai referensi TCB real-time Intel.

gcp_attester_tcb_date String Tanggal TCB untuk platform Google Cloud yang menyatakan. Nilai waktu adalah UTC dalam format ISO 8601 (YYYY-MM-DDThh:mm:ssZ).

Klaim submod

Tabel berikut menjelaskan klaim submods dalam token pengesahan.

Kunci Jenis Deskripsi
confidential_space.support_attributes Array string Array dapat berisi nilai EXPERIMENTAL, USABLE, STABLE, dan LATEST. Untuk informasi selengkapnya, lihat Siklus proses image Confidential Space.
confidential_space.monitoring_enabled Objek Menampilkan jenis pemantauan sistem yang diaktifkan. Nilainya dapat berupa {"memory":false} atau {"memory":true}.
container Objek Lihat Klaim penampung beban kerja.
gce Objek Lihat klaim Compute Engine.
nvidia_gpu Objek Lihat klaim GPU NVIDIA.

Klaim Compute Engine

Tabel berikut menjelaskan klaim gce dalam token pengesahan.

Kunci Jenis Deskripsi
instance_id String ID instance VM.
instance_name String Nama instance VM.
project_id String project ID untuk project tempat VM berjalan.
project_number String Nomor project untuk project tempat VM berjalan.
zone String Zona Compute Engine tempat instance Confidential VM berjalan.

Klaim GPU NVIDIA

Tabel berikut menjelaskan klaim nvidia_gpu dalam token pengesahan.

Kunci Jenis Deskripsi
cc_feature Enumerasi

Confidential Computing yang didukung oleh GPU NVIDIA. Hanya mode GPU passthrough (SPT) tunggal yang didukung di Confidential Space, sehingga nilainya selalu SPT.

Untuk mengetahui informasi selengkapnya tentang dukungan NVIDIA Confidential Computing, lihat NVIDIA Trusted Computing Solutions (PDF).

cc_mode Enumerasi

Status Confidential Computing GPU NVIDIA. Klaim ini hanya membuktikan driver GPU, bukan seluruh perangkat GPU.

Nilainya bisa berupa salah satu dari berikut:

  • OFF: tidak ada fitur NVIDIA Confidential Computing yang aktif.
  • ON: hardware, firmware, dan software NVIDIA H100 telah mengaktifkan fitur confidential computing sepenuhnya.
  • DEVTOOLS: GPU berada dalam mode komputasi rahasia parsial yang cocok dengan alur kerja mode ON, tetapi menonaktifkan perlindungan keamanan.
gpus Array objek

Lihat klaim hardware dan software GPU.

Klaim hardware dan software GPU

Kunci Jenis Deskripsi
driver_version String

Versi driver NVIDIA yang berjalan di Confidential VM. Misalnya, 590.48.01.

hwmodel Enumerasi

Arsitektur NV_GPU. Hanya H100 NVIDIA yang didukung, sehingga nilainya selalu GCP_NVIDIA_H100.

l4_serial_number String hex

Nomor seri rantai sertifikat pengesahan GPU NVIDIA tingkat keempat.

ueid String hex

ID entitas universal sesuai dengan RFC 9711. Ini adalah ID perangkat unik untuk perangkat GPU NVIDIA yang telah dibuktikan.

vbios_version String

Versi VBIOS GPU NVIDIA yang dibuktikan. Misalnya, 96.00.CF.00.01.

Klaim container workload

Tabel berikut menjelaskan klaim container dalam token pengesahan. Untuk mengetahui informasi selengkapnya tentang klaim ini, lihat Pernyataan pengesahan.

Kunci Jenis Deskripsi
args Array string argv lengkap yang digunakan untuk memanggil penampung. Klaim ini mencakup jalur titik entri penampung dan argumen command line tambahan.
cmd_override Array string Perintah CMD dan parameter yang digunakan dalam image workload.
env Objek Variabel lingkungan dan nilainya yang telah secara eksplisit diteruskan ke container.
env_override Objek Variabel lingkungan yang ditimpa dalam container.
image_digest String Ringkasan image container workload.
image_id String ID image container workload.
image_reference String Lokasi container workload yang berjalan di Confidential Space.
image_signatures Array objek Lihat Klaim tanda tangan image container.
restart_policy Enumerasi Kebijakan mulai ulang peluncur container saat workload berhenti. Nilai yang valid adalah Always, OnFailure, dan Never. Default-nya adalah Never.

Klaim tanda tangan image container

Tabel berikut menjelaskan klaim image_signatures dalam token pengesahan.

Kunci Jenis Deskripsi
key_id String

Sidik jari heksadesimal kunci publik. Untuk mendapatkan sidik jari, Anda dapat menjalankan perintah berikut: 

openssl pkey -pubin -in public_key.pem -outform DER | openssl sha256

Dengan public_key.pem adalah kunci publik Anda dalam format PEM.

signature String Tanda tangan berenkode base64 untuk payload yang terkait dengan penampung bertanda tangan dan yang mengikuti format Penandatanganan Sederhana.
signature_algorithm Enumerasi

Algoritma yang digunakan untuk menandatangani kunci. Salah satu dari berikut ini:

  • RSASSA_PSS_SHA256 (RSASSA-PSS dengan ringkasan SHA-256 )
  • RSASSA_PKCS1V15_SHA256 (RSASSA-PKCS1 v1_5 dengan ringkasan SHA-256)
  • ECDSA_P256_SHA256 (ECDSA pada Kurva P-256 dengan ringkasan SHA-256)

Langkah berikutnya