Modifica las opciones de VM protegida

Usa este tema para obtener información sobre cómo modificar las opciones de VM protegida en una instancia de VM. Para ver qué imágenes son compatibles con las características de las VM protegidas, consulta Imágenes.

En una instancia de VM protegida, las opciones de inicio seguro, Módulo de plataforma segura virtual (vTPM) y supervisión de integridad están habilitadas de manera predeterminada. Puedes modificar la instancia si luego decides inhabilitar una o más de estas características. Debes detener la instancia de VM antes de modificar las opciones de VM protegida.

Debes tener el permiso updateShieldedInstanceConfig para poder actualizar la configuración de las VM protegidas.

Antes de comenzar

Modifica las opciones de VM protegida en una instancia de VM

Si tu instancia usa una imagen con asistencia de VM protegida, puedes usar el siguiente procedimiento para modificar las opciones de VM protegida en la instancia:

GCP Console

  1. Ir a la página Instancias de VM
  2. Haz clic en el nombre de la instancia para abrir la página Detalles de la instancia de VM.
  3. Haz clic en Detener para detener la instancia.
  4. Cuando la instancia se haya detenido, haz clic en Editar.
  5. En la sección VM protegida, realiza una o más de las siguientes acciones:

    • Activa o desactiva Activar el inicio seguro para habilitar o inhabilitar el inicio seguro. El inicio seguro ayuda a proteger tus instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta la documentación sobre el inicio seguro.
    • Activa o desactiva Activar vTPM para habilitar o inhabilitar el Módulo de plataforma segura virtual (vTPM). Tener el vTPM habilitado habilita el inicio medido, que valida la integridad previa al inicio y la integridad de inicio de la VM. Para obtener más información, consulta la documentación sobre el Módulo de plataforma segura virtual (vTPM).
    • Activa o desactiva Activar la supervisión de integridad para habilitar o inhabilitar la supervisión de integridad. La supervisión de integridad te permite supervisar y verificar la integridad de inicio del entorno de ejecución de las instancias de VM protegida mediante Stackdriver. Para obtener más información, consulta la documentación sobre la supervisión de integridad.
  6. Haz clic en el botón Guardar para modificar la instancia.

  7. Haz clic en Comenzar para reiniciar la instancia.

gcloud

Cambia las opciones de VM protegida de la instancia mediante una de los siguientes marcas:

  • --[no-]shielded-vm-secure-boot: habilita o inhabilita el inicio seguro. El inicio seguro ayuda a proteger tus instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta la documentación sobre el inicio seguro.
  • --[no-]shielded-vm-vtpm: habilita o inhabilita el vTPM. Tener el vTPM habilitado habilita el inicio medido, que valida la integridad previa al inicio y la integridad de inicio de la VM. Para obtener más información, consulta la documentación sobre el Módulo de plataforma segura virtual (vTPM).
  • --[no-]shielded-vm-integrity-monitoring: habilita o inhabilita la supervisión de integridad. La supervisión de integridad te permite supervisar y verificar la integridad de inicio del entorno de ejecución de las instancias de VM protegida mediante informes de Stackdriver. Para obtener más información, consulta la documentación sobre la supervisión de integridad.

En el siguiente ejemplo, se actualiza la instancia de VM my-instance para inhabilitar el vTPM:

  1. Detener la instancia:

    gcloud compute instances stop my-instance
    
  2. Actualizar la instancia:

    gcloud compute instances update my-instance --no-shielded-vtpm
    
  3. Reiniciar la instancia:

    gcloud compute instances start my-instance
    

API

  1. Para habilitar o inhabilitar las opciones de VM protegida con la API de REST, realiza una llamada PATCH a la siguiente URL:

    PATCH https://compute.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    Debes realizar una llamada POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop antes de cambiar las opciones de VM protegida y una llamada POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code> después.

  2. Especifica las opciones de VM protegida que se habilitarán o inhabilitarán con los siguientes elementos del cuerpo de solicitud booleana:

    • enableSecureBoot: habilita o inhabilita el inicio seguro. El inicio seguro ayuda a proteger tus instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta la documentación sobre el inicio seguro.
    • enableVtpm: habilita o inhabilita el vTPM. Tener el vTPM habilitado habilita el inicio medido, que valida la integridad previa al inicio y la integridad de inicio de la VM. Para obtener más información, consulta la documentación sobre el Módulo de plataforma segura virtual (vTPM).
    • enableIntegrityMonitoring: habilita o inhabilita la supervisión de integridad. La supervisión de integridad te permite supervisar y verificar la integridad de inicio del entorno de ejecución de las instancias de VM protegida mediante informes de Stackdriver. Para obtener más información, consulta la documentación sobre la supervisión de integridad.

    En el siguiente ejemplo, se actualiza una instancia de VM para inhabilitar el inicio seguro y habilitar la supervisión de integridad:

    PATCH https://compute.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

Qué sigue

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Compute Engine