修改受防護的 VM 選項

本主題可讓您瞭解如何在 VM 執行個體上修改受防護的 VM 選項。如要查看哪些映像檔可支援受防護的 VM 功能,請參閱映像檔說明。

根據預設,系統會在受防護的 VM 執行個體上啟用安全啟動、虛擬信任平台模組 (vTPM) 和完整性監控選項。如果您日後決定要停用其中一或多項功能,可以修改執行個體。您必須停止 VM 執行個體,才能修改受防護的 VM 選項。

您需要 updateShieldedVmConfig 權限才能更新受防護的 VM 設定。

事前準備

在 VM 執行個體上修改受防護的 VM 選項

如要在執行個體上修改受防護的 VM 選項,請執行下列程序。

GCP 主控台

  1. 前往 VM 執行個體頁面
  2. 按一下執行個體名稱,開啟「VM 執行個體詳細資料」頁面。
  3. 按一下 [停止] 以停止執行個體。
  4. 當執行個體停止後,按一下 [編輯]
  5. 在「受防護的 VM」部分,執行下列一或多項操作:

    • 切換 [Turn on Secure Boot] (啟用安全啟動功能) 即可啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
    • 切換 [Turn on vTPM] (啟用 vTPM) 即可啟用或停用虛擬信任平台模組 (vTPM)。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
    • 切換 [Turn on Integrity Monitoring] (啟用完整性監控功能) 即可啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 來監控及驗證受防護 VM 執行個體的執行階段開機完整性。詳情請參閱完整性監控一節。
  6. 按一下 [Save] (儲存) 按鈕以修改執行個體。

  7. 按一下 [啟動],重新啟動執行個體。

gcloud

使用下列其中一個標記變更執行個體的受防護 VM 選項:

  • --[no-]shielded-vm-secure-boot:啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
  • --[no-]shielded-vm-vtpm:啟用或停用 vTPM。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
  • --[no-]shielded-vm-integrity-monitoring:啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 報表來監控及驗證受防護 VM 執行個體的執行階段啟動完整性。詳情請參閱完整性監控一節。

以下範例會更新 my-instance VM 執行個體來停用 vTPM:

  1. 停止執行個體:

    gcloud compute instances stop my-instance
    
  2. 更新執行個體:

    gcloud beta compute instances update my-instance --no-shielded-vm-vtpm
    
  3. 重新啟動執行個體:

    gcloud compute instances start my-instance
    

API

  1. 如要使用 REST API 啟用或停用受防護的 VM 選項,請以 PATCH 呼叫以下網址:

    PATCH https://www.googleapis.com/compute/alpha/projects/<project>/zones/zone/instances/<instance>/updateShieldedVmConfig

    變更受防護的 VM 選項前,您必須先進行 POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/stop 呼叫,然後再進行 POST https://www.googleapis.com/compute/v1/projects/{project}/zones/{zone}/instances/{resourceId}/start</code> 呼叫。

  2. 透過下列布林要求主體項目來指定要啟用或停用的受防護 VM 選項:

    • enableSecureBoot:啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
    • enableVtpm:啟用或停用 vTPM。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
    • enableIntegrityMonitoring:啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 報表來監控及驗證受防護 VM 執行個體的執行階段啟動完整性。詳情請參閱完整性監控一節。

    以下範例會更新 VM 執行個體,以停用安全啟動功能及啟用完整性監控功能:

    PATCH https://www.googleapis.com/compute/beta/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedVmConfig?key={YOUR_API_KEY}
    {
     "enableSecureBoot": false,
     "enableIntegrityMonitoring": true
    }
    

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件