シールドされた VM オプションの変更

は、

VM インスタンスのシールドされた VM オプションを変更する方法については、このトピックを参照してください。シールドされた VM の機能をサポートするイメージを確認するには、イメージをご覧ください。

シールドされた VM インスタンスでは、セキュアブート、Virtual Trusted Platform Module(vTPM)、および整合性モニタリングのオプションがデフォルトで有効になっています。これらのいずれかの機能を後で無効にする場合はインスタンスを変更できます。シールドされた VM オプションを変更する前に、VM インスタンスを停止する必要があります。

シールドされた VM 設定を更新するには、updateShieldedVmConfig 権限が必要です。

始める前に

VM インスタンス上のシールドされた VM オプションの変更

インスタンス上のシールドされた VM オプションを変更するには、次の手順を実行します。

GCP console

  1. [VM インスタンス] ページに移動
  2. インスタンス名をクリックして、[VM インスタンスの詳細] ページを開きます。
  3. [停止] をクリックしてインスタンスを停止します。
  4. インスタンスが停止したら、[編集] をクリックします。
  5. [シールドされた VM] セクションで、次のいずれかの操作を実行します。

    • [セキュアブートをオンにします] を切り替えて、セキュアブートを有効または無効にします。セキュアブートは、ブートレベルやカーネルレベルの不正ソフトウェアとルートキットから VM インスタンスを保護します。詳細については、セキュアブートをご覧ください。
    • [vTPM をオンにします] を切り替えて、virtual trusted platform module(vTPM)を有効または無効にします。vTPM を有効にすると、メジャーブートが有効になり、これによって VM の起動前と起動時の整合性が検証されます。詳細については、Virtual Trusted Platform Module(vTPM)をご覧ください。
    • [整合性のモニタリングを有効にする] を切り替えて、整合性のモニタリングを有効または無効にします。整合性のモニタリングにより、シールドされた VM インスタンスについて、ランタイムの起動時の整合性を Stackdriver を使用してモニタリングおよび検証できます。詳細については、整合性のモニタリングをご覧ください。
  6. [保存] ボタンをクリックしてインスタンスを変更します。

  7. [開始] をクリックしてインスタンスを再起動します。

gcloud

  1. 次のいずれかのフラグを使用して、インスタンスのシールドされた VM オプションを変更します。

    • --[no-]shielded-vm-secure-boot: セキュアブートを有効または無効にします。セキュアブートは、ブートレベルやカーネルレベルの不正ソフトウェアとルートキットから VM インスタンスを保護します。詳細については、セキュアブートをご覧ください。
    • --[no-]shielded-vm-vtpm: vTPM を有効または無効にします。vTPM を有効にすると、メジャーブートが有効になり、これによって VM の起動前と起動時の整合性が検証されます。詳細については、Virtual Trusted Platform Module(vTPM)をご覧ください。
    • --[no-]shielded-vm-integrity-monitoring: 整合性のモニタリングを有効または無効にします。整合性のモニタリングにより、シールドされた VM インスタンスについて、ランタイムの起動時の整合性を Stackdriver レポートを使用してモニタリングおよび検証できます。詳細については、整合性のモニタリングをご覧ください。

    次の例では、my-instance VM インスタンスを更新して vTPM を無効にします。

    gcloud compute instances stop my-instance
    gcloud beta compute instances update my-instance --no-shielded-vm-vtpm
    gcloud compute instances start my-instance

API

  1. REST API を使用してシールドされた VM オプションを有効または無効にするには、次の URL に対して PATCH を呼び出します。

    PATCH https://www.googleapis.com/compute/alpha/projects/<project>/zones/zone/instances/<instance>/updateShieldedVmConfig

    シールドされた VM オプションを変更する前に、POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/stop 呼び出しを行い、その後で POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/start</code> 呼び出しを行う必要があります。

  2. 次のブール値のリクエスト本文項目を使用して、有効または無効にするシールドされた VM オプションを指定します。

    • enableSecureBoot: セキュアブートを有効または無効にします。セキュアブートは、ブートレベルやカーネルレベルの不正ソフトウェアとルートキットから VM インスタンスを保護します。詳細については、セキュアブートをご覧ください。
    • enableVtpm: vTPM を有効または無効にします。vTPM を有効にすると、メジャーブートが有効になり、これによって VM の起動前と起動時の整合性が検証されます。詳細については、Virtual Trusted Platform Module(vTPM)をご覧ください。
    • enableIntegrityMonitoring: 整合性のモニタリングを有効または無効にします。整合性のモニタリングにより、シールドされた VM インスタンスについて、ランタイムの起動時の整合性を Stackdriver レポートを使用してモニタリングおよび検証できます。詳細については、整合性のモニタリングをご覧ください。

    次の例では、VM インスタンスを更新して、セキュアブートを無効にし、整合性のモニタリングを有効にします。

    PATCH https://www.googleapis.com/compute/beta/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedVmConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Compute Engine ドキュメント