Como modificar opções de VM protegida

Neste tópico, ensinamos como modificar as opções de VM protegida em uma instância de VM. Para saber quais imagens permitem recursos de VM protegida, consulte Imagens.

As opções "inicialização segura", "monitoramento de integridade" e "Módulo de plataforma confiável virtual (vTPM)" são padrão nas instâncias de VM protegida. Mas é possível desativá-las. Para isso, é preciso parar a instância e modificar as opções de VM protegida.

Para atualizar as configurações de VM protegida, habilite a permissão updateShieldedVmConfig.

Antes de começar

Como modificar opções de VM protegida em uma instância de VM

Use o procedimento abaixo para mudar as opções de VM protegida em uma instância:

Console do GCP

  1. Acesse a página "Instâncias de VM"
  2. Clique no nome da instância para abrir a página Detalhes da instância de VM.
  3. Clique em Parar.
  4. Quando a instância parar, clique em Editar
  5. As seguintes ações estão disponíveis na seção VM protegida:

    • Ativar a inicialização segura para ativá-la ou desativá-la. A inicialização segura ajuda a proteger as instâncias de VM contra malware e rootkits nos níveis de inicialização e kernel. Para mais informações, consulte Inicialização segura.
    • Ativar vTPM para ativar ou desativar o Módulo da plataforma virtual confiável (vTPM, na sigla em inglês). O vTPM possibilita o uso da Inicialização medida, que valida a pré-inicialização e a integridade da inicialização da VM. Para mais informações, consulte Módulo da plataforma virtual confiável (vTPM).
    • Ativar monitoramento de integridade. Essa opção é usada para ativá-lo ou desativá-lo. Com o monitoramento de integridade, é possível monitorar e verificar a integridade da inicialização do ambiente de execução das suas instâncias de VM protegidas usando o Stackdriver. Para mais informações, consulte Monitoramento de integridade.
  6. Clique no botão Salvar para modificar a instância.

  7. Clique em Iniciar para reiniciar a instância.

gcloud

Use estas sinalizações para mudar as opções de instâncias de VM protegida:

  • --[no-]shielded-vm-secure-boot para ativar ou desativar a inicialização segura. A inicialização segura ajuda a proteger as instâncias de VM contra malware e rootkits nos níveis de inicialização e kernel. Para mais informações, consulte Inicialização segura.
  • --[no-]shielded-vm-vtpm para ativar ou desativar o vTPM. O vTPM possibilita o uso da Inicialização medida, que valida a pré-inicialização e a integridade de inicialização da VM. Para mais informações, consulte Módulo da plataforma virtual confiável (vTPM).
  • --[no-]shielded-vm-integrity-monitoring para ativar ou desativar o monitoramento de integridade. O monitoramento de integridade permite monitorar e verificar a integridade da inicialização do ambiente de execução das instâncias de VM protegidas usando os relatórios do Stackdriver. Para mais informações, consulte Monitoramento de integridade.

O exemplo a seguir atualiza a instância de VM my-instance e desabilita o vTPM:

  1. Interrompa a instância:

    gcloud compute instances stop my-instance
    
  2. Atualize a instância:

    gcloud beta compute instances update my-instance --no-shielded-vm-vtpm
    
  3. Reinicie a instância:

    gcloud compute instances start my-instance
    

API

  1. Para ativar ou desativar as opções de VM protegida usando API REST, faça uma chamada PATCH para este URL:

    PATCH https://www.googleapis.com/compute/alpha/projects/<project>/zones/zone/instances/<instance>/updateShieldedVmConfig

    É preciso fazer uma chamada POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/stop antes de alterar as opções de VM protegida e uma chamada POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/start</code> depois.

  2. Use estes itens do corpo da solicitação booleana para ativar ou desativar opções específicas de VM protegida:

    • enableSecureBoot: ative ou desative a inicialização segura. A inicialização segura ajuda a proteger as instâncias de VM contra malware e rootkits nos níveis de inicialização e kernel. Para mais informações, consulte Inicialização segura.
    • enableVtpm para ativar ou desativar o vTPM. O vTPM possibilita o uso da Inicialização medida, que valida a pré-inicialização e a integridade de inicialização da VM. Para mais informações, consulte Módulo da plataforma virtual confiável (vTPM).
    • enableIntegrityMonitoring: ative ou desative o monitoramento de integridade. O monitoramento de integridade permite monitorar e verificar a integridade da inicialização do tempo de execução das instâncias de VM protegidas usando os relatórios do Stackdriver. Para mais informações, consulte Monitoramento de integridade.

    Este é um exemplo de como atualizar uma instância de VM para desativar a inicialização segura e ativar o monitoramento de integridade:

    PATCH https://www.googleapis.com/compute/beta/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedVmConfig?key={YOUR_API_KEY}
    {
     "enableSecureBoot": false,
     "enableIntegrityMonitoring": true
    }
    

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine