Topik ini menjelaskan cara mengambil kunci endorsement (EKPub) dari instance Shielded VM.
Anda dapat mengambil kunci endorsement untuk kunci enkripsi dan kunci penandatanganan. Anda dapat menggunakan kunci enkripsi untuk mengenkripsi data sehingga hanya vTPM yang dapat membacanya, atau kunci penandatanganan untuk memverifikasi tanda tangan yang dibuat vTPM. Anda juga dapat menggunakan kunci tersebut untuk memastikan identitas instance VM sebelum mengirim informasi sensitif ke instance tersebut.
Anda harus memiliki izin getShieldedInstanceIdentity
untuk mengambil
kunci endorsement.
Mengambil kunci endorsement menggunakan Google Cloud CLI
Gunakan perintah gcloud compute instances get-shielded-identity
untuk mengambil
bagian publik kunci endorsement dari instance Shielded VM.
gcloud compute instances get-shielded-identity [INSTANCE_NAME]
Hasilnya terlihat seperti berikut:
encryptionKey: ekPub: | -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ 4wIDAQAB -----END PUBLIC KEY----- kind: compute#shieldedInstanceIdentity signingKey: ekPub: | -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM lQIDAQAB -----END PUBLIC KEY-----
Mengambil kunci endorsement menggunakan Compute Engine API
Anda dapat menggunakan Compute Engine API untuk melihat informasi kunci endorsement. Untuk mengetahui informasi selengkapnya tentang cara menggunakan API, lihat Panduan cara kerja.
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity
{
"signingKey": {
"ekPub": [PEM-formatted key]
},
"encryptionKey": {
"ekPub": [PEM-formatted key]
},
"kind": "compute#shieldedInstanceIdentity"
}
Langkah berikutnya
- Pelajari cara mengubah opsi pada instance Shielded VM.
- Pelajari satu pendekatan untuk mengotomatiskan respons terhadap peristiwa pemantauan integritas.