Diese Seite wurde von der Cloud Translation API übersetzt.

Verschlüsselungsschlüssel für einen Server einrichten

Sie können Verschlüsselungsschlüssel einrichten, um Ihre Serverpasswörter zu verschlüsseln. Diese Schlüssel sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), die Sie mit dem Cloud Key Management Service (Cloud KMS) verwalten können. Sie können sie beim Bereitstellen eines neuen Servers oder beim Neuaufspielen eines vorhandenen Servers festlegen. Sie können einen Verschlüsselungsschlüssel für mehrere Server verwenden.

Die Verwendung eines Verschlüsselungsschlüssels ist optional. Nachdem Sie einen Verschlüsselungsschlüssel eingerichtet haben, müssen Sie ihn jedoch verwenden. Diese Einstellung kann nicht geändert werden. Sie können jedoch den Schlüssel oder seine Version ändern.

Diese Funktion ist nur für die von der Bare-Metal-Lösung unterstützten Linux-Betriebssysteme verfügbar.

Hinweise

Erstellen Sie mit Cloud KMS einen Verschlüsselungsschlüssel.

Hinweis :Sie müssen den Cloud KMS-Schlüssel nicht im selben Projekt erstellen, das Ihren Bare-Metal-Lösung enthält.

So erstellen Sie einen Verschlüsselungsschlüssel:
1. Aktivieren Sie in dem Projekt, in dem Sie den Schlüssel erstellen möchten, die Cloud KMS API.
  
  Dies ist nur einmal pro Projekt erforderlich.
2. Weisen Sie dem Dienstkonto für die Bare-Metal-Lösung die folgenden Rollen zu. Dies ist nur einmal pro Projekt erforderlich.
  - roles/cloudkms.viewer: Prüfen, ob die CryptoKeyVersion verfügbar ist.
  - roles/cloudkms.publicKeyViewer: einen öffentlichen Schlüssel abrufen.
  Informationen zum Zuweisen von Rollen finden Sie unter Rollen für eine Ressource gewähren.
  
  Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um diese Rollen zuzuweisen.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Ersetzen Sie Folgendes:
  - KMS_PROJECT_ID: das Projekt, das Ihren Cloud KMS-Schlüssel enthält
  - PROJECT_NUMBER: Das Projekt, das Ihren Bare-Metal-Lösungsserver enthält
3. Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel.
  
  Wichtig: Sie müssen den Algorithmus 3072-Bit-RSA – OAEP-Padding – SHA256-Digest auswählen. Die Verwendung eines anderen Algorithmus kann zu nicht dechiffrierbaren Passwörtern führen.
  
  Sie können beliebig viele Schlüssel und Versionen erstellen.

Verschlüsselungsschlüssel beim Bereitstellen eines Servers einrichten

Sie können einen Verschlüsselungsschlüssel für einen neuen Bare-Metal-Lösung-Server einrichten, während Sie ihn über das Antragsformular in der Google Cloud Console bereitstellen.

Informationen zum Einrichten eines Verschlüsselungsschlüssels bei der Bereitstellung eines Servers finden Sie unter Verwenden Sie das Aufnahmeformular der Google Cloud Console, um Ihre Auswahl einzugeben.

Verschlüsselungsschlüssel beim Neuaufspielen eines Servers einrichten

Informationen zum Einrichten von Verschlüsselungsschlüsseln beim Neuaufspielen eines Servers finden Sie unter Betriebssystem für einen Server ändern.

Verschlüsselungsschlüssel und Passwörter eines Servers ansehen

So rufen Sie Verschlüsselungsschlüssel und Passwörter eines Servers auf:

Console

Rufen Sie die Seite Server auf.

Zu „Server“
Klicken Sie auf den Servernamen.

Rufen Sie auf der Seite Serverdetails den Verschlüsselungsschlüssel im Feld Schlüssel für die Passwortverschlüsselung auf.
Nutzerkonten und die zugehörigen verschlüsselten Passwörter finden Sie im Bereich Nutzerkonten.

gcloud

Führen Sie den Befehl gcloud alpha bms instances auth-info aus:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Ersetzen Sie Folgendes:

SERVER_NAME: den Namen des Bare-Metal-Lösungsservers
PROJECT_ID: die ID des Projekts.
REGION: die Region des Bare-Metal-Lösungsservers

Passwort entschlüsseln

So rufen Sie das Rohpasswort ab:

Rufen Sie den Geheimtext ab. Führen Sie den Befehl gcloud alpha bms instances auth-info aus.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- SERVER_NAME: den Namen Ihres Bare-Metal-Lösungsservers
- PROJECT_ID: die ID Ihres Bare-Metal-Lösungsprojekts
- REGION: den Standort Ihres Bare-Metal-Lösungsservers
- USERNAME: der Nutzername des Kontos, das mit dem Passwort verknüpft ist, das Sie entschlüsseln möchten. Der Wert ist entweder root oder customeradmin.
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie nach dem Kopieren die Leerzeichen und Zeilenumbrüche ('\n'), um Probleme mit dem Format des Passworts zu vermeiden.
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Verwenden Sie den folgenden Befehl, um den Geheimtext aus dem aus der Google Cloud Console kopierten Passwort abzurufen:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie nach dem Kopieren die Leerzeichen und Zeilenumbrüche ('\n'), um Probleme mit dem Format des Passworts zu vermeiden.
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Entschlüsseln Sie das Passwort. Folgen Sie der Anleitung unter Daten entschlüsseln.