Esta página foi traduzida pela API Cloud Translation.

Configurar chaves de criptografia para um servidor

É possível configurar chaves de criptografia para criptografar as senhas do servidor. Essas chaves são chaves de criptografia gerenciadas pelo cliente (CMEK) que podem ser gerenciadas usando o Cloud Key Management Service (Cloud KMS). É possível definir essas configurações ao provisionar um novo servidor ou refazer a imagem de um servidor existente. É possível usar uma chave de criptografia com vários servidores.

O uso de uma chave de criptografia é opcional. No entanto, depois de configurar uma chave de criptografia, você precisa usá-la. Não é possível mudar essa configuração. No entanto, você pode mudar a chave ou a versão dela.

Esse recurso está disponível apenas para os sistemas operacionais Linux compatíveis com a solução Bare Metal.

Antes de começar

Usando o Cloud KMS, crie uma chave de criptografia.

Observação: não é necessário criar a chave do Cloud KMS no mesmo projeto que contém o servidor da Solução Bare Metal.

Para criar uma chave de criptografia, siga estas etapas:
1. No projeto em que você quer criar a chave, ative a API Cloud KMS.
  
  Faça isso apenas uma vez por projeto.
2. Atribua os seguintes papéis à conta de serviço da Solução Bare Metal. Faça isso apenas uma vez por projeto.
  - roles/cloudkms.viewer: verifique se o CryptoKeyVersion está disponível para uso.
  - roles/cloudkms.publicKeyViewer: recuperar uma chave pública.
  Para saber como conceder um papel, consulte Conceder papéis a um recurso.
  
  Para atribuir essas funções, use o comando gcloud projects add-iam-policy-binding.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Substitua:
  - KMS_PROJECT_ID: o projeto que contém sua chave do Cloud KMS.
  - PROJECT_NUMBER: o projeto que contém o servidor da Solução Bare Metal.
3. Crie uma chave de descriptografia assimétrica.
  
  Importante: selecione o algoritmo RSA de 3072 bits - Padding OAEP - Resumo SHA256. O uso de qualquer outro algoritmo pode resultar em senhas indecifráveis.
  
  É possível criar quantas chaves e versões forem necessárias.

Configurar chaves de criptografia ao provisionar um servidor

É possível configurar uma chave de criptografia para um novo servidor da Solução Bare Metal durante o provisionamento usando o formulário de admissão do console do Google Cloud.

Para configurar uma chave de criptografia durante o provisionamento de um servidor, consulte Usar o formulário de admissão do console do Google Cloud para inserir suas seleções.

Configurar chaves de criptografia ao fazer uma nova imagem de um servidor

Para configurar chaves de criptografia ao fazer a restauração de imagem de um servidor, consulte Mudar o SO de um servidor.

Conferir chaves de criptografia e senhas de um servidor

Para conferir as chaves de criptografia e as senhas de um servidor, siga estas etapas:

Console

Acesse a página Servidores.

Acessar servidores
Clique no nome do servidor.

Na página Detalhes do servidor, confira a chave de criptografia no campo Chave de criptografia de senha.
Para conferir as contas de usuário e as senhas criptografadas correspondentes, acesse a seção Contas de usuário.

gcloud

Use o comando gcloud alpha bms instances auth-info:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Substitua:

SERVER_NAME: o nome do servidor da Solução Bare Metal
PROJECT_ID: o ID do projeto
REGION: a região do servidor da Solução Bare Metal

Descriptografar uma senha

Para acessar a senha bruta, siga estas etapas:

Receba o texto criptografado. Use o comando gcloud alpha bms instances auth-info.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- SERVER_NAME: o nome do servidor da Solução Bare Metal
- PROJECT_ID: o ID do projeto da Solução Bare Metal
- REGION: o local do servidor da Solução Bare Metal
- USERNAME: o nome de usuário da conta associada à senha que você quer descriptografar. O valor é root ou customeradmin.
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após a cópia, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Para receber o texto criptografado da senha copiada do console do Google Cloud, use o seguinte comando:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após copiar, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Descriptografe a senha. Siga as etapas em Descriptografar dados.