Verschlüsselungsschlüssel für einen Server einrichten

Sie können Verschlüsselungsschlüssel einrichten, um Ihre Serverpasswörter zu verschlüsseln. Diese Schlüssel sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK), die Sie mit dem Cloud Key Management Service (Cloud KMS) verwalten können. Sie können sie festlegen, wenn Sie einen neuen Server bereitstellen oder das Image eines vorhandenen Servers neu erstellen. Sie können einen Verschlüsselungsschlüssel für mehrere Server verwenden.

Die Verwendung eines Verschlüsselungsschlüssels ist optional. Nachdem Sie einen Verschlüsselungsschlüssel eingerichtet haben, müssen Sie ihn jedoch verwenden. Diese Einstellung kann nicht geändert werden. Sie können den Schlüssel oder seine Version jedoch ändern.

Dieses Feature ist nur für die von der Bare-Metal-Lösung unterstützten Linux-Betriebssysteme verfügbar.

Hinweise

Erstellen Sie mit Cloud KMS einen Verschlüsselungsschlüssel.

Hinweis: Sie müssen den Cloud KMS-Schlüssel nicht in dem Projekt erstellen, das den Server Ihrer Bare-Metal-Lösung enthält.

So erstellen Sie einen Verschlüsselungsschlüssel:
1. Aktivieren Sie in dem Projekt, in dem Sie den Schlüssel erstellen möchten, die Cloud KMS API.
  
  Führen Sie diesen Schritt nur einmal pro Projekt aus.
2. Weisen Sie dem Dienstkonto der Bare-Metal-Lösung die folgenden Rollen zu. Führen Sie diesen Schritt nur einmal pro Projekt aus.
  - roles/cloudkms.viewer: Prüfen Sie, ob CryptoKeyVersion zur Verwendung verfügbar ist.
  - roles/cloudkms.publicKeyViewer: Ruft einen öffentlichen Schlüssel ab.
  Informationen zum Zuweisen einer Rolle finden Sie unter Rollen für eine Ressource zuweisen.
  
  Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um diese Rollen zuzuweisen.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Ersetzen Sie Folgendes:
  - KMS_PROJECT_ID: das Projekt, das Ihren Cloud KMS-Schlüssel enthält
  - PROJECT_NUMBER: das Projekt, das den Server der Bare-Metal-Lösung enthält
3. Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel.
  
  Wichtig: Sie müssen den Algorithmus 3072-Bit RSA – OAEP Padding – SHA256 Digest auswählen. Die Verwendung eines anderen Algorithmus kann zu nicht lesbaren Passwörtern führen.
  
  Sie können beliebig viele Schlüssel und Versionen erstellen.

Verschlüsselungsschlüssel beim Bereitstellen eines Servers einrichten

Sie können einen Verschlüsselungsschlüssel für einen neuen Server der Bare-Metal-Lösung einrichten, während Sie ihn über das Eingabeformular der Google Cloud Console bereitstellen.

Informationen zum Einrichten eines Verschlüsselungsschlüssels für die Bereitstellung eines Servers finden Sie unter Auswahl im Eingabeformular der Google Cloud Console eingeben.

Verschlüsselungsschlüssel beim erneuten Abspielen eines Servers einrichten

Informationen zum Einrichten von Verschlüsselungsschlüsseln bei der Neuerstellung eines Server-Images finden Sie unter Betriebssystem für einen Server ändern.

Verschlüsselungsschlüssel und Passwörter eines Servers ansehen

So rufen Sie die Verschlüsselungsschlüssel und Passwörter eines Servers auf:

Console

Rufen Sie die Seite Server auf.

Zu „Server“
Klicken Sie auf den Servernamen.

Sehen Sie sich auf der Seite Serverdetails im Feld Verschlüsselungsschlüssel für Passwort den Verschlüsselungsschlüssel an.
Wechseln Sie zum Abschnitt Nutzerkonten, um Nutzerkonten und die entsprechenden verschlüsselten Passwörter anzusehen.

gcloud

Führen Sie den Befehl gcloud alpha bms instances auth-info aus:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Ersetzen Sie Folgendes:

SERVER_NAME: der Name des Servers der Bare-Metal-Lösung
PROJECT_ID: die ID des Projekts.
REGION: die Region des Servers der Bare-Metal-Lösung

Passwort entschlüsseln

So erhalten Sie das unformatierte Passwort:

Rufen Sie den Geheimtext ab. Führen Sie den Befehl gcloud alpha bms instances auth-info aus.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- SERVER_NAME: der Name des Servers Ihrer Bare-Metal-Lösung
- PROJECT_ID: die ID Ihres Bare-Metal-Lösungsprojekts
- REGION: der Standort des Servers Ihrer Bare-Metal-Lösung
- USERNAME: der Nutzername des Kontos, das mit dem Passwort verknüpft ist, das Sie entschlüsseln möchten. Der Wert ist entweder root oder customeradmin.
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben Um Probleme mit dem Format des Passworts nach dem Kopieren zu vermeiden, entfernen Sie die Leerzeichen und Zeilenumbrüche ('\n').
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Verwenden Sie den folgenden Befehl, um den Geheimtext aus dem Passwort abzurufen, das Sie aus der Google Cloud Console kopiert haben:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- ENCRYPTED_PASSWORD_FILE ist die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie die Leerzeichen und Zeilenumbrüche ('\n'), um Probleme mit dem Format des Passworts nach dem Kopieren zu vermeiden.
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Entschlüsseln Sie das Passwort. Führen Sie die Schritte unter Daten entschlüsseln aus.