Esta página foi traduzida pela API Cloud Translation.

Configurar chaves de criptografia para um servidor

É possível configurar chaves de criptografia para criptografar as senhas do servidor. Essas chaves são chaves de criptografia gerenciadas pelo cliente (CMEK) que podem ser gerenciadas usando o Cloud Key Management Service (Cloud KMS). É possível defini-las ao provisionar um novo servidor ou refazer a imagem de um existente. É possível usar uma chave de criptografia com vários servidores.

O uso de uma chave de criptografia é opcional. No entanto, depois de configurar uma chave de criptografia, você precisa usá-la. Não é possível mudar essa configuração. No entanto, você pode mudar a chave ou a versão dela.

Esse recurso está disponível apenas para os sistemas operacionais Linux compatíveis com a solução Bare Metal.

Antes de começar

Usando o Cloud KMS, crie uma chave de criptografia.

Observação: não é necessário criar a chave do Cloud KMS no mesmo projeto que contém o servidor da Solução Bare Metal.

Para criar uma chave de criptografia, siga estas etapas:
1. No projeto em que você quer criar a chave, ative a API Cloud KMS.
  
  Faça isso apenas uma vez por projeto.
2. Atribua os seguintes papéis à conta de serviço da Solução Bare Metal. Faça isso apenas uma vez por projeto.
  - roles/cloudkms.viewer: verifique se o CryptoKeyVersion está disponível para uso.
  - roles/cloudkms.publicKeyViewer: recuperar uma chave pública.
  Para saber como conceder um papel, consulte Conceder papéis a um recurso.
  
  Para atribuir esses papéis, use o comando gcloud projects add-iam-policy-binding.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Substitua:
  - KMS_PROJECT_ID: o projeto que contém sua chave do Cloud KMS.
  - PROJECT_NUMBER: o projeto que contém o servidor da Solução Bare Metal.
3. Crie uma chave de descriptografia assimétrica.
  
  Importante: selecione o algoritmo RSA de 3072 bits - Padding OAEP - Resumo SHA256. O uso de qualquer outro algoritmo pode resultar em senhas indecifráveis.
  
  É possível criar quantas chaves e versões forem necessárias.

Configurar chaves de criptografia ao provisionar um servidor

É possível configurar uma chave de criptografia para um novo servidor da Solução Bare Metal durante o provisionamento pelo formulário de inscrição do console Google Cloud .

Para configurar uma chave de criptografia ao provisionar um servidor, consulte Use o formulário de admissão do console do para inserir suas seleções.

Configurar chaves de criptografia ao fazer uma nova imagem de um servidor

Para configurar chaves de criptografia ao fazer a restauração de imagem de um servidor, consulte Mudar o SO de um servidor.

Conferir chaves de criptografia e senhas de um servidor

Para conferir as chaves de criptografia e as senhas de um servidor, siga estas etapas:

Console

Acesse a página Servidores.

Acessar servidores
Clique no nome do servidor.

Na página Detalhes do servidor, confira a chave de criptografia no campo Chave de criptografia de senha.
Para conferir as contas de usuário e as senhas criptografadas correspondentes, acesse a seção Contas de usuário.

gcloud

Use o comando gcloud alpha bms instances auth-info:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Substitua:

SERVER_NAME: o nome do servidor da Solução Bare Metal
PROJECT_ID: o ID do projeto
REGION: a região do servidor da Solução Bare Metal

Descriptografar uma senha

Para acessar a senha bruta, siga estas etapas:

Receba o texto criptografado. Use o comando gcloud alpha bms instances auth-info.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- SERVER_NAME: o nome do servidor da Solução Bare Metal
- PROJECT_ID: o ID do projeto da Solução Bare Metal
- REGION: o local do servidor da Solução Bare Metal
- USERNAME: o nome de usuário da conta associada à senha que você quer descriptografar. O valor é root ou customeradmin.
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após a cópia, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Para receber o texto criptografado da senha copiada do console do , use o seguinte comando:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após copiar, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Descriptografe a senha. Siga as etapas em Descriptografar dados.