修改受防護的 VM 選項

本主題可讓您瞭解如何在 VM 執行個體上修改受防護的 VM 選項。如要查看哪些映像檔支援受防護的 VM 功能,請參閱映像檔

根據預設,系統會在受防護的 VM 執行個體上啟用安全啟動、虛擬信任平台模組 (vTPM) 和完整性監控選項。如果您日後決定要停用其中一或多項功能,可以修改執行個體。您必須停止 VM 執行個體,才能修改受防護的 VM 選項。

您必須擁有 updateShieldedInstanceConfig 權限才能更新受防護的 VM 設定。

事前準備

在 VM 執行個體上修改受防護的 VM 選項

如果執行個體使用支援受防護 VM 的映像檔,您可以按照下列程序在執行個體上修改受防護的 VM 選項:

GCP Console

  1. 前往 VM 執行個體頁面
  2. 按一下執行個體名稱,開啟「VM instance details」(VM 執行個體詳細資料) 頁面。
  3. 按一下 [停止] 以停止執行個體。
  4. 當執行個體停止後,按一下 [編輯]
  5. 在「Shielded VM」(受防護的 VM) 部分,執行下列一或多項操作:

    • 切換 [Turn on Secure Boot] (啟用安全啟動功能) 即可啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
    • 切換 [Turn on vTPM] (啟用 vTPM) 即可啟用或停用虛擬信任平台模組 (vTPM)。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
    • 切換 [Turn on Integrity Monitoring] (啟用完整性監控功能) 即可啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 來監控及驗證受防護 VM 執行個體的執行階段開機完整性。詳情請參閱完整性監控一節。
  6. 按一下 [Save] (儲存) 按鈕以修改執行個體。

  7. 按一下 [Start] (啟動),重新啟動執行個體。

gcloud

使用下列其中一個旗標,變更執行個體的受防護 VM 選項:

  • --[no-]shielded-vm-secure-boot:啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
  • --[no-]shielded-vm-vtpm:啟用或停用 vTPM。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
  • --[no-]shielded-vm-integrity-monitoring:啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 報表來監控及驗證受防護 VM 執行個體的執行階段啟動完整性。詳情請參閱完整性監控一節。

以下範例會更新 my-instance VM 執行個體來停用 vTPM:

  1. 停止執行個體:

    gcloud compute instances stop my-instance
    
  2. 更新執行個體:

    gcloud compute instances update my-instance --no-shielded-vtpm
    
  3. 重新啟動執行個體:

    gcloud compute instances start my-instance
    

API

  1. 如要使用 REST API 啟用或停用受防護的 VM 選項,請以 PATCH 呼叫以下網址:

    PATCH https://compute.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    變更受防護的 VM 選項前,您必須先進行 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop 呼叫,然後再進行 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code> 呼叫。

  2. 透過下列布林要求主體項目來指定要啟用或停用受防護的 VM 選項:

    • enableSecureBoot:啟用或停用安全啟動功能。安全啟動功能可防止 VM 執行個體受到啟動層級和核心層級的惡意軟體和 Rootkit 攻擊。詳情請參閱安全啟動一節。
    • enableVtpm:啟用或停用 vTPM。啟用 vTPM 時會一併啟用測量啟動功能,來驗證 VM 的啟動前和啟動完整性。詳情請參閱虛擬信任平台模組 (vTPM) 一節。
    • enableIntegrityMonitoring:啟用或停用完整性監控功能。透過完整性監控功能,您可以利用 Stackdriver 報表來監控及驗證受防護 VM 執行個體的執行階段啟動完整性。詳情請參閱完整性監控一節。

    以下範例會更新 VM 執行個體,以停用安全啟動功能及啟用完整性監控功能:

    PATCH https://compute.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

後續步驟