Modifier les options de VM protégée

Cette rubrique vous apprend à modifier les options de la VM protégée sur une instance de VM. Pour afficher les images compatibles avec les fonctionnalités de la VM protégée, consultez la section Images.

Sur une instance de VM protégée, les options de démarrage sécurisé, vTPM (Virtual Trusted Platform Module) et de surveillance de l'intégrité sont activées par défaut. Vous pouvez modifier l'instance si vous décidez plus tard de désactiver une ou plusieurs de ces fonctionnalités. Vous devez arrêter l'instance de VM avant de modifier les options de VM protégée.

Pour pouvoir mettre à jour les paramètres de la VM protégée, vous devez disposer de l'autorisation updateShieldedVmConfig.

Avant de commencer

Modifier les options de la VM protégée sur une instance de VM

Pour modifier les options de VM protégée sur une instance, procédez comme suit :

Console GCP

  1. Accédez à la page des instances de VM.
  2. Cliquez sur le nom de l'instance pour ouvrir la page Informations sur l'instance de VM.
  3. Cliquez sur Arrêter pour arrêter l'instance.
  4. Lorsque l'instance s'est arrêtée, cliquez sur Modifier.
  5. Dans la section VM protégée, prenez une ou plusieurs des mesures suivantes :

    • Activez ou désactivez l'option Activer le démarrage sécurisé, Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants, et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
    • Activez ou désactivez l'option Activer vTPM. L'activation du module vTPM enclenche le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
    • Activez ou désactivez l'option Activer la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées à l'aide de Stackdriver. Pour plus d'informations, consultez la section Surveillance de l'intégrité.
  6. Cliquez sur le bouton Enregistrer pour modifier l'instance.

  7. Cliquez sur Démarrer pour redémarrer l'instance.

gcloud

Modifiez les options de VM protégée de l'instance à l'aide de l'un des indicateurs suivants :

  • --[no-]shielded-vm-secure-boot : active ou désactive le démarrage sécurisé. Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants, et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
  • --[no-]shielded-vm-vtpm : active ou désactive le module vTPM. L'activation ou la désactivation du module vTPM active le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
  • --[no-]shielded-vm-integrity-monitoring : active ou désactive la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées au moyen de rapports Stackdriver. Pour plus d'informations, consultez la section Surveillance de l'intégrité.

Dans l'exemple suivant, l'instance de VM my-instance est mise à jour de manière à désactiver le module vTPM :

  1. Pour arrêter l'instance, procédez comme suit :

    gcloud compute instances stop my-instance
    
  2. Mettez à jour l'instance :

    gcloud beta compute instances update my-instance --no-shielded-vm-vtpm
    
  3. Redémarrez l'instance :

    gcloud compute instances start my-instance
    

API

  1. Pour activer ou désactiver les options de VM protégée à l'aide de l'API REST, envoyez un appel PATCH à l'URL suivante :

    PATCH https://www.googleapis.com/compute/alpha/projects/<project>/zones/zone/instances/<instance>/updateShieldedVmConfig

    Vous devez envoyer un appel POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/stop avant de modifier les options de la VM protégée, puis un appel POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/start</code>.

  2. Spécifiez les options de VM protégée à activer ou à désactiver à l'aide des éléments de corps de requête booléens suivants :

    • enableSecureBoot : active ou désactive le démarrage sécurisé. Le démarrage sécurisé permet de protéger vos instances de VM contre les logiciels malveillants, et les rootkits opérant au niveau des secteurs de démarrage et du noyau. Pour plus d'informations, consultez la section Démarrage sécurisé.
    • enableVtpm : active ou désactive le module vTPM. L'activation ou la désactivation du module vTPM active le démarrage mesuré, ce qui permet de valider l'intégrité avant et pendant le démarrage de la VM. Pour plus d'informations, consultez la section Module vTPM (Virtual Trusted Platform Module).
    • enableIntegrityMonitoring : active ou désactive la surveillance de l'intégrité. La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité pendant le démarrage de l'environnement d'exécution de vos instances de VM protégées au moyen de rapports Stackdriver. Pour plus d'informations, consultez la section Surveillance de l'intégrité.

    Dans l'exemple suivant, une instance de VM est mise à jour de manière à désactiver le démarrage sécurisé et à activer la surveillance de l'intégrité :

    PATCH https://www.googleapis.com/compute/beta/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedVmConfig?key={YOUR_API_KEY}
    {
     "enableSecureBoot": false,
     "enableIntegrityMonitoring": true
    }
    

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Compute Engine