Modifier les options de VM protégée

Cette rubrique vous apprend à modifier les options de la VM protégée sur une instance de VM. Pour afficher les images compatibles avec les fonctionnalités de VM protégée, consultez la page Images.

Sur une instance de VM protégée, les options de démarrage sécurisé, vTPM (Virtual Trusted Platform Module), et de surveillance de l'intégrité sont activées par défaut. Vous pouvez modifier l'instance si vous décidez plus tard de désactiver une ou plusieurs de ces fonctionnalités. Vous devez arrêter l'instance de VM avant de modifier les options de VM protégée.

Pour pouvoir mettre à jour les paramètres de la VM protégée, vous devez disposer de l'autorisation updateShieldedInstanceConfig.

Avant de commencer

Modifier les options de la VM protégée sur une instance de VM

Si votre instance utilise une image compatible avec la fonctionnalité VM protégée, vous pouvez modifier les options de VM protégée sur l'instance comme suit :

Console GCP

  1. Accédez à la page Instances de VM
  2. Cliquez sur le nom de l'instance pour ouvrir la page Informations sur l'instance de VM.
  3. Cliquez sur Arrêter pour arrêter l'instance.
  4. Lorsque l'instance s'est arrêtée, cliquez sur Modifier.

  5. Dans la section VM protégée, prenez une ou plusieurs des mesures suivantes :

    • Activez ou désactivez l'option Activer le démarrage sécurisé, Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants, et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
    • Activez ou désactivez l'option Activer vTPM pour activer ou désactiver le module vTPM (Virtual Trusted Platform Module). L'activation du module vTPM enclenche le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
    • Activez ou désactivez l'option Activer la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées à l'aide de Stackdriver. Pour plus d'informations, consultez la section sur la Surveillance de l'intégrité.

  6. Cliquez sur le bouton Enregistrer pour modifier l'instance.

  7. Cliquez sur Démarrer pour redémarrer l'instance.

gcloud

Modifiez les options de VM protégée de l'instance à l'aide de l'un des indicateurs suivants :

  • --[no-]shielded-vm-secure-boot : active ou désactive le démarrage sécurisé. Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
  • --[no-]shielded-vm-vtpm : active ou désactive le module vTPM. L'activation du module vTPM enclenche le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
  • --[no-]shielded-vm-integrity-monitoring : active ou désactive la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées au moyen de rapports Stackdriver. Pour plus d'informations, consultez la documentations sur la surveillance de l'intégrité.

Dans l'exemple suivant, l'instance de VM my-instance est mise à jour de manière à désactiver le module vTPM :

  1. Arrêtez l'instance :

    gcloud compute instances stop my-instance

  2. Mettez à jour l'instance :

    gcloud compute instances update my-instance --no-shielded-vtpm

  3. Redémarrez l'instance :

    gcloud compute instances start my-instance

API

  1. Pour activer ou désactiver les options de VM protégée à l'aide de l'API REST, envoyez un appel PATCH à l'URL suivante :

    PATCH https://compute.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    Vous devez effectuer un appel POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop avant de modifier les options de la VM protégée, puis un appel POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code>.

  2. Spécifiez les options de VM protégée à activer ou à désactiver à l'aide des éléments de corps de requête booléens suivants :

    • enableSecureBoot : active ou désactive le démarrage sécurisé. Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
    • enableVtpm : active ou désactive le module vTPM. L'activation du module vTPM enclenche le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
    • enableIntegrityMonitoring : active ou désactive la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées au moyen de rapports Stackdriver. Pour plus d'informations, consultez la documentations sur la surveillance de l'intégrité.

    Dans l'exemple suivant, une instance de VM est mise à jour de manière à désactiver le démarrage sécurisé et à activer la surveillance de l'intégrité :

    PATCH https://compute.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
 {
  "enableSecureBoot": false,
  "enableIntegrityMonitoring": true
}

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Cette page
Commentaires sur la documentation
Documentation Compute Engine
Commentaires sur le produit