Verschlüsselungsschlüssel für einen Server einrichten
Sie können Verschlüsselungsschlüssel einrichten, um Ihre Serverpasswörter zu verschlüsseln. Diese Schlüssel sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), die Sie mit dem Cloud Key Management Service (Cloud KMS) verwalten können. Sie können sie beim Bereitstellen eines neuen Servers oder beim Neuaufspielen eines vorhandenen Servers festlegen. Sie können einen Verschlüsselungsschlüssel mit mehreren Servern verwenden.
Die Verwendung eines Verschlüsselungsschlüssels ist optional. Nachdem Sie einen Verschlüsselungsschlüssel eingerichtet haben, müssen Sie ihn jedoch verwenden. Diese Einstellung kann nicht geändert werden. Sie können jedoch den Schlüssel oder seine Version ändern.
Diese Funktion ist nur für die Von der Bare-Metal-Lösung unterstützte Linux-Betriebssysteme.
Hinweise
Erstellen Sie mit Cloud KMS einen Verschlüsselungsschlüssel.
So erstellen Sie einen Verschlüsselungsschlüssel:
Aktivieren Sie in dem Projekt, in dem Sie den Schlüssel erstellen möchten, die Cloud KMS API.
Dies ist nur einmal pro Projekt erforderlich.
Folgende Rollen zuweisen mit Ihrem Dienstkonto für die Bare-Metal-Lösung. Führen Sie diesen Schritt nur einmal pro Projekt durch.
roles/cloudkms.viewer
: Überprüfen Sie, ob derCryptoKeyVersion
kann verwendet werden.roles/cloudkms.publicKeyViewer
: Ruft einen öffentlichen Schlüssel ab.
Informationen zum Zuweisen einer Rolle finden Sie unter Rollen für eine Ressource zuweisen
Verwenden Sie den Befehl
gcloud projects add-iam-policy-binding
, um diese Rollen zuzuweisen.gcloud projects add-iam-policy-binding KMS_PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \ --role roles/cloudkms.viewer
Ersetzen Sie Folgendes:
- KMS_PROJECT_ID: das Projekt, das Ihren Cloud KMS-Schlüssel enthält
- PROJECT_NUMBER: Das Projekt, das Ihren Bare-Metal-Lösungsserver enthält
Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel.
Sie können beliebig viele Schlüssel und Versionen erstellen.
Verschlüsselungsschlüssel beim Bereitstellen eines Servers einrichten
Sie können einen Verschlüsselungsschlüssel für einen neuen Bare Metal Solution-Server einrichten, während Sie ihn über das Antragsformular in der Google Cloud Console bereitstellen.
Informationen zum Einrichten eines Verschlüsselungsschlüssels bei der Bereitstellung eines Servers finden Sie unter Verwenden Sie das Google Cloud Console-Eingabeformular, um Ihre Auswahl einzugeben.
Verschlüsselungsschlüssel bei der Neuerstellung eines Server-Images einrichten
Informationen zum Einrichten von Verschlüsselungsschlüsseln beim Neuaufspielen eines Servers finden Sie unter Betriebssystem für einen Server ändern.
Verschlüsselungsschlüssel und Passwörter eines Servers ansehen
So rufen Sie Verschlüsselungsschlüssel und Passwörter eines Servers auf:
Console
Rufen Sie die Seite Server auf.
Klicken Sie auf den Servernamen.
Rufen Sie auf der Seite Serverdetails den Verschlüsselungsschlüssel im Feld Schlüssel für die Passwortverschlüsselung auf.
Um Nutzerkonten und die zugehörigen verschlüsselten Passwörter anzuzeigen, gehen Sie zu im Abschnitt Nutzerkonten.
gcloud
Führen Sie den Befehl gcloud alpha bms instances auth-info
aus:
gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION
Ersetzen Sie Folgendes:
- SERVER_NAME: den Namen des Bare-Metal-Lösungsservers
- PROJECT_ID: die ID des Projekts.
- REGION: die Region des Bare-Metal-Lösungsservers
Passwort entschlüsseln
So rufen Sie das Rohpasswort ab:
Holen Sie sich den Geheimtext.
gcloud alpha bms instances auth-info
verwenden .gcloud alpha bms instances auth-info SERVER_NAME \ --project=PROJECT_ID \ --region=REGION \ --format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
Ersetzen Sie Folgendes:
- SERVER_NAME: der Name Ihres Servers für die Bare-Metal-Lösung
- PROJECT_ID: die ID Ihres Bare-Metal-Lösungsprojekts
- REGION: Standort Ihres Servers für die Bare-Metal-Lösung
- USERNAME: der Nutzername des Kontos, das mit dem Passwort verknüpft ist, das Sie entschlüsseln möchten. Der Wert ist entweder
root
odercustomeradmin
. - ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Um Probleme mit dem Format des Passworts nach dem Kopieren zu vermeiden,
Entfernen Sie die Leerzeichen und den Zeilenumbruchzeichen (
'\n'
). - CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
gcloud alpha bms instances auth-info my-instance \ --region=europe-west3 \ --project=project-testing \ --format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
So rufen Sie den Geheimtext aus dem Passwort ab, das Sie aus der Google Cloud Console kopiert haben: verwenden Sie den folgenden Befehl:
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
Ersetzen Sie Folgendes:
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie nach dem Kopieren die Leerzeichen und Zeilenumbrüche (
'\n'
), um Probleme mit dem Format des Passworts zu vermeiden. - CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
Entschlüsseln Sie das Passwort. Folgen Sie der Anleitung unter Daten entschlüsseln.