English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Contattaci Inizia gratuitamente

Questa pagina è stata tradotta dall'API Cloud Translation.

Modifica delle opzioni delle VM schermate su un'istanza VM

Questo documento descrive come attivare e disattivare le opzioni della VM protetta su un'istanza VM. Per sapere quali immagini supportano le funzionalità Shielded VM, consulta le funzionalità di sicurezza delle immagini del sistema operativo.

Panoramica

In un'istanza Shielded VM, Compute Engine attiva per impostazione predefinita le opzioni Virtual Trusted Platform Module (vTPM) e monitoraggio dell'integrità. Se disattivi il vTPM, Compute Engine disattiva il monitoraggio dell'integrità perché si basa sui dati raccolti dall'avvio con misurazioni.

Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. L'avvio protetto contribuisce ad assicurare che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la firma non supera la verifica. In questo modo, è possibile evitare che forme di malware del kernel, come rootkit o bootkit, rimangano attive dopo i riavvii della VM. Google consiglia di attivare l'Avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo carico di lavoro.

Limitazioni

Anche se le istanze VM di Compute Engine supportano l'avvio protetto, un'immagine caricata su una VM Compute Engine potrebbe non supportarlo. In particolare, anche se la maggior parte delle distribuzioni Linux supporta il Secure Boot sulle immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate per rifiutare il caricamento di build non firmate di moduli del kernel out-of-tree quando l'avvio protetto è attivo. Questo problema interessa più comunemente i driver della GPU, ma a volte anche gli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:

compute.instances.updateShieldedInstanceConfig nell'istanza VM

Modifica delle opzioni delle VM schermate su un'istanza VM

Per modificare le opzioni Shielded VM, segui questa procedura:

Console

Nella Google Cloud console, vai alla pagina Istanze VM.

Vai a Istanze VM
Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.
Fai clic su Interrompi per arrestare la VM. Se non è presente l'opzione Interrompi, fai clic su Altre azioni > Interrompi.
Dopo l'arresto dell'istanza, fai clic su Modifica.
Nella sezione Shielded VM, modifica le opzioni delle Shielded VM:
- Attiva/disattiva Attiva Avvio protetto per abilitare Avvio protetto. Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'avvio protetto.
- Attiva/disattiva Attiva vTPM per disattivare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).
- Attiva/disattiva Attiva il monitoraggio dell'integrità per disattivare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine attiva il monitoraggio dell'integrità.
Fai clic su Salva.
Fai clic su Avvia per avviare l'istanza.

gcloud

Arresta l'istanza:
```
gcloud compute instances stop VM_NAME
```
Sostituisci VM_NAME con il nome della VM da arrestare.
Aggiorna le opzioni Shielded VM:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Sostituisci VM_NAME con il nome della VM su cui aggiornare le opzioni della Shielded VM.

shielded-secure-boot: Compute Engine non attiva l'Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.
- Abilita l'avvio protetto utilizzando il flag --shielded-secure-boot (opzione consigliata).
- Disattiva l'avvio protetto utilizzando --no-shielded-secure-boot.
shielded-vtpm: il Virtual Trusted Platform Module (vTPM) è abilitato per impostazione predefinita. + Attiva utilizzando --shielded-vtpm (valore predefinito) + Disattiva utilizzando il flag --no-shielded-vtpm

shielded-integrity-monitoring: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Attiva utilizzando --shielded-integrity-monitoring (valore predefinito) + Disattiva utilizzando il flag --no-shielded-integrity-monitoring.
Avvia l'istanza:
```
gcloud compute instances start VM_NAME
```
Sostituisci VM_NAME con il nome della VM da avviare.

REST

Arresta l'istanza:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Sostituisci quanto segue:
- PROJECT_ID: progetto contenente la VM da arrestare
- ZONE: la zona contenente la VM da arrestare
- VM_NAME: la VM da arrestare
Utilizza instances.updateShieldedInstanceConfig per attivare o disattivare le opzioni Shielded VM nell'istanza:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto contenente la VM su cui attivare o disattivare le opzioni Shielded VM.
- ZONE: la zona contenente la VM su cui attivare o disattivare le opzioni Shielded VM.
- VM_NAME: la VM su cui attivare o disattivare le opzioni Shielded VM.
enableSecureBoot: Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.

enableVtpm: Compute Engine attiva il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.

enableIntegrityMonitoring: Compute Engine attiva il monitoraggio dell'integrità per impostazione predefinita.
Avvia l'istanza:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Sostituisci quanto segue:
- PROJECT_ID: progetto contenente la VM da avviare
- ZONE: la zona contenente la VM da avviare
- VM_NAME: la VM da avviare

Passaggi successivi

Scopri di più sulle funzionalità di sicurezza offerte dalle Shielded VM.
Scopri di più sul monitoraggio dell'integrità su un&#39Shielded VM schermata.

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2025-09-03 UTC.