English
Deutsch
Español
Español – América Latina
Français
Indonesia
Italiano
Português
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Contacte-nos Começar gratuitamente

Esta página foi traduzida pela API Cloud Translation.

Modificar opções de VMs protegidas numa instância de VM

Este documento descreve como ativar e desativar as opções da VM protegida numa instância de VM. Para ver que imagens suportam funcionalidades de VM protegida, consulte as funcionalidades de segurança da imagem do SO.

Vista geral

Numa instância de VM protegida, o Compute Engine ativa as opções virtual Trusted Platform Module (vTPM) e monitorização da integridade por predefinição. Se desativar o vTPM, o Compute Engine desativa a monitorização da integridade, uma vez que esta depende dos dados recolhidos pelo Measured Boot.

O Compute Engine não ativa o Arranque seguro por predefinição porque os controladores não assinados e outro software de baixo nível podem não ser compatíveis. O arranque seguro ajuda a garantir que o sistema só executa software autêntico através da validação da assinatura de todos os componentes de arranque e da interrupção do processo de arranque se a validação da assinatura falhar. Isto ajuda a impedir que formas de software malicioso do kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. A Google recomenda que ative o arranque seguro se puder garantir que não impede o arranque de uma VM de teste representativa e se for adequado para a sua carga de trabalho.

Limitações

Embora as instâncias de VM do Compute Engine suportem o arranque seguro, uma imagem carregada numa VM do Compute Engine pode não o suportar. Em particular, embora a maioria das distribuições Linux suporte o arranque seguro em imagens x86 recentes, nem sempre é suportado por predefinição no ARM64. Muitas imagens do Linux estão configuradas para recusar o carregamento de compilações não assinadas de módulos do kernel fora da árvore quando o arranque seguro está ativado. Isto afeta mais frequentemente os controladores da GPU, mas também afeta, por vezes, as ferramentas de monitorização de segurança que requerem módulos do kernel.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações:

compute.instances.updateShieldedInstanceConfig na instância de VM

Modificar opções de VMs protegidas numa instância de VM

Use o seguinte procedimento para modificar as opções da VM protegida:

Consola

Na Google Cloud consola, aceda à página Instâncias de VM.

Aceda a Instâncias de VM
Clique no nome da instância para abrir a página Detalhes da instância de VM.
Clique em Parar para parar a VM. Se não existir a opção Parar, clique em Mais ações > Parar.
Após a paragem da instância, clique em Editar.
Na secção VM protegida, modifique as opções da VM protegida:
- Ative/desative a opção Ativar arranque seguro para ativar o arranque seguro. Por predefinição, o Compute Engine não ativa o Arranque seguro porque os controladores não assinados e outro software de baixo nível podem não ser compatíveis. Se possível, a Google recomenda que ative o Arranque seguro.
- Ative/desative a opção Ativar vTPM para desativar o Módulo de plataforma fidedigna virtual (vTPM). Por predefinição, o Compute Engine ativa o Módulo de plataforma fidedigna virtual (vTPM).
- Ative/desative a opção Ativar monitorização da integridade para desativar a monitorização da integridade. Por predefinição, o Compute Engine ativa a monitorização da integridade.
Clique em Guardar.
Clique em Iniciar para iniciar a instância.

gcloud

Parar a instância:
```
gcloud compute instances stop VM_NAME
```
Substitua VM_NAME pelo nome da VM a parar.
Atualize as opções da VM protegida:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Substitua VM_NAME pelo nome da VM na qual quer atualizar as opções da VM protegida.

shielded-secure-boot: O Compute Engine não ativa o Arranque seguro por predefinição porque os controladores não assinados e outro software de baixo nível podem não ser compatíveis. Se possível, a Google recomenda que ative o arranque seguro.
- Ative o arranque seguro através do sinalizador --shielded-secure-boot (recomendado).
- Desative o arranque seguro através da funcionalidade --no-shielded-secure-boot.
shielded-vtpm: o Trusted Platform Module virtual (vTPM) está ativado por predefinição. + Ative-o através de --shielded-vtpm (predefinição) + Desative-o através da flag --no-shielded-vtpm

shielded-integrity-monitoring: A monitorização da integridade está ativada por predefinição. + Ativar através de --shielded-integrity-monitoring (predefinição) + Desativar através da flag --no-shielded-integrity-monitoring.
Inicie a instância:
```
gcloud compute instances start VM_NAME
```
Substitua VM_NAME pelo nome da VM a iniciar.

REST

Parar a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Substitua o seguinte:
- PROJECT_ID: projeto que contém a VM a parar
- ZONE: zona que contém a VM a parar
- VM_NAME: a VM a parar
Use instances.updateShieldedInstanceConfig para ativar ou desativar as opções da VM protegida na instância:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Substitua o seguinte:
- PROJECT_ID: o projeto que contém a VM na qual quer ativar ou desativar as opções de VM protegida.
- ZONE: a zona que contém a VM na qual quer ativar ou desativar as opções de VM protegida.
- VM_NAME: a VM na qual quer ativar ou desativar as opções de VM protegida.
enableSecureBoot: O Compute Engine não ativa o Arranque seguro por predefinição porque os controladores não assinados e outro software de baixo nível podem não ser compatíveis. Se possível, a Google recomenda que ative o arranque seguro.

enableVtpm: o Compute Engine ativa o Virtual Trusted Platform Module (vTPM) por predefinição.

enableIntegrityMonitoring: O Compute Engine ativa a monitorização da integridade por predefinição.
Inicie a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Substitua o seguinte:
- PROJECT_ID: projeto que contém a VM a iniciar
- ZONE: zona que contém a VM a iniciar
- VM_NAME: VM a iniciar

O que se segue?

Leia mais sobre as funcionalidades de segurança oferecidas pela VM protegida.
Saiba mais sobre a monitorização da integridade numa instância de VM protegida.

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-09-19 UTC.